Раздел VI Дела по проучванията за надеждност

Чл. 70. (1) Делата, съдържащи материали по проучванията за надеждност, се съхраняват, поддържат, актуализират, картотекират и закриват от органа, извършил проучването, отделно от другите видове дела.

(2) Делата се откриват от компетентния орган при започване на проучването за надеждност.

(3) Данните, съдържащи се в делата, представляват служебна тайна и се използват за целите на този закон.

(4) Делата на лица, на които е издадено разрешение за достъп до класифицирана информация, се съхраняват за срок не по-дълъг от пет години след изтичането на срока на разрешението, след което се унищожават.

Чл. 71. (1) Делата на проучваните лица съдържат:

1. молба за постъпване на длъжност, документи за възлагане изпълнението на конкретно възложена задача, изискваща достъп до класифицирана информация, съответно молба за участие в конкурс за заемане на такава длъжност или за изпълнение на такава задача;

2. документи относно физическите или юридическите лица, кандидатстващи за сключване или изпълнение на договор, свързан с достъп до класифицирана информация;

3. писмено съгласие за проучване;

4. писмено искане за проучването;

5. попълнен въпросник;

6. разрешение, сертификат или удостоверение за достъп до класифицирана информация;

7. документ за отказване, отнемане или прекратяване на разрешение за достъп до класифицирана информация;

8. документи по назначаване или възлагане на конкретна задача;

9. документи за преминало обучение по защита на класифицирана информация;

10. други документи, съдържащи факти и обстоятелства, събрани при условията и по реда на този закон.

(2) Специалните правила за откриване, съхраняване, поддържане, актуализиране, картотекиране и закриване на делата по проучванията за надеждност се определят с правилника за прилагане на закона.

Глава шеста

ВИДОВЕ ЗАЩИТА НА КЛАСИФИЦИРАНАТА ИНФОРМАЦИЯ

Раздел I

Физическа сигурност

Чл. 72. (1) Физическата сигурност на класифицираната информация включва система от организационни, физически и технически мерки за предотвратяване на нерегламентиран достъп до материали, документи, техника и съоръжения, класифицирани като държавна или служебна тайна.

(2) Системата от мерки по ал. 1 включва защитата на сградите, помещенията и съоръженията, в които се създава, обработва и съхранява класифицирана информация, и контрола върху достъпа до тях.

Чл. 73. (1) Организационните единици прилагат система от мерки и средства за физическа сигурност на сгради, помещения и съоръжения, в които се създава, обработва и съхранява класифицирана информация.

(2) Физическата сигурност се прилага за защита на класифицирана информация от всякаква заплаха или вреда в резултат на:

1. терористична дейност или саботаж;

2. нерегламентиран достъп или опит за нерегламентиран достъп.

(3) Необходимите способи и средства за физическа сигурност се определят в зависимост от нивото на класификация и количеството на класифицираната информация, от броя и нивото на достъп на работниците и служителите, определени съгласно чл. 3, от степента на заплаха от увреждащи действия.

Чл. 74. За предотвратяване на нерегламентиран достъп до класифицирана информация ръководителите на организационните единици с помощта на служителите по сигурността на информацията:

1. определят зоните за сигурност;

2. определят около зоните за сигурност административни зони, в които се извършва контрол на хора и моторни превозни средства и които са с най-ниско ниво на сигурност;

3. въвеждат контролиран режим на влизане, движение и излизане от зоната за сигурност, както и задължително придружаване в тези зони на лица без право на достъп или с право на достъп до по-ниско ниво на класификация;

4. осигуряват съответен контрол над зоните за сигурност и административните зони чрез служители от звената по сигурност и охрана;

5. въвеждат специален режим за съхраняване на ключове от помещения, каси и други съоръжения, служещи за съхраняване на класифицирана информация.

Чл. 75. За осигуряване защитата на класифицираната информация, представляваща държавна тайна, при срещи, разговори, съвещания, заседания и др., предмет на които е такава информация, се въвеждат допълнителни мерки за сигурност срещу подслушване и наблюдение.

Чл. 76. Лицата, участващи в срещи, съвещания и заседания, чийто предмет е класифицирана информация, представляваща държавна тайна, се проверяват предварително от звената за сигурност и охрана в организационната единица.

Чл. 77. (1) Всички материали и технически средства, които се използват за защита на класифицирана информация, трябва да отговарят на изискванията за стабилност и неразрушимост, съответни на нивото на класификация за сигурност на информацията, сертифицирани от ДКСИ или от друг орган, определен с решение на Министерския съвет.

(2) Други технически средства могат да се използват само по изключение, при условие че няма да се понижи нивото, необходимо за даденото ниво на класификация за сигурност на информацията.

(3) Средствата за физическа сигурност, сертифицирани за всяко ниво на класификация за сигурност, се определят в списък, утвърден от ДКСИ.

Чл. 78. Системата от мерки, способи и средства за физическа сигурност, условията и редът за използването им се определят с наредба на Министерския съвет.

Чл. 79. Служителите по сигурността на информацията извършват предварителен и текущ контрол по отношение на организацията, способите и средствата за физическа сигурност в организационната единица.

Раздел II

Документална сигурност

Чл. 80. (1) Документалната сигурност се състои в система от мерки, способи и средства за защита на класифицираната информация при създаването, обработването и съхраняването на документи, както и при организирането и работата на регистратури за класифицирана информация.

(2) Системата от мерки, способи и средства за документална сигурност, условията и редът за използването им се определят с правилника за прилагане на закона.

Чл. 81. За осигуряване защита на класифицираната информация ръководителите на организационните единици определят допълнителни специални процедури и изисквания в рамките на своята компетентност.

Чл. 82. (1) В рамките на организационната единица се създава отделно организационно звено - регистратура за класифицирана информация, отговорно за надлежното създаване, обработване, съхраняване и предаване на упълномощени лица на материали, съдържащи класифицирана информация. Регистратурите за класифицирана информация са пряко подчинени на служителя по сигурността на информацията.

(2) Изискванията за изграждане и функциониране на регистратурите по ал. 1 се регламентират в правилника за прилагане на закона.

Чл. 83. (1) Персоналната сигурност представлява система от принципи и мерки, прилагани от компетентните органи по съответния ред спрямо лица с цел гарантиране на тяхната надеждност с оглед защита на класифицираната информация.

(2) Принципите и мерките по ал. 1 включват принципа "необходимост да се знае", процедурата по проучване на лицата и издаването на разрешение за достъп по глава пета, провеждането на обучение на лицата по реда на закона и правилника за неговото прилагане и осъществяването на контрол в тази област.


Раздел IV

Криптографска сигурност

Чл. 84. Криптографската сигурност представлява система от криптографски методи и средства, които се прилагат с цел защита на класифицираната информация от нерегламентиран достъп при нейното създаване, обработка, съхраняване и пренасяне.

Чл. 85. Условията и редът за използването, производството и вносът на криптографски методи и средства за защита на класифицирана информация се

определят с наредба, приета от Министерския съвет по предложение на министъра на вътрешните работи.

Чл. 86. За защита на класифицираната информация се прилагат криптографски методи и средства само след предварително одобрение и регистрация от дирекция "Защита на средствата за връзка" на Министерството на вътрешните работи.

Чл. 87. (1) Производството и разпределянето на необходимите криптографски ключове се извършва от дирекция "Защита на средствата за връзка" на Министерството на вътрешните работи.

(2) Дейностите по ал. 1 могат да се извършват и от други организационни единици след разрешението и под контрола на дирекция "Защита на средствата за връзка" на Министерството на вътрешните работи.

Чл. 88. (1) В рамките на организационната единица прилагането на криптографските методи и средства се извършва от служителя по сигурността на информацията или от други служители от административното звено по сигурността, преминали обучение в областта на криптографската сигурност и получили разрешение за работа с криптографски средства.

(2) Разрешението по ал. 1 се издава от дирекция "Защита на средствата за връзка" на Министерството на вътрешните работи след проучване на лицата по чл. 46, т. 3. Издаването, прекратяването и отнемането на разрешение се извършва при условията и по реда на глава пета. Отказът, прекратяването и отнемането не подлежат на обжалване по съдебен ред.

(3) Обучението по ал. 1 се извършва от дирекция "Защита на средствата за връзка" на Министерството на вътрешните работи или от други организационни единици след разрешението и под контрола на дирекция "Защита на средствата за връзка" на Министерството на вътрешните работи.

Чл. 89. Сигурността на автоматизираните информационни системи (АИС) или мрежи представлява система от принципи и мерки за защита от нерегламентиран достъп до класифицираната информация, създавана, обработвана, съхранявана и пренасяна в АИС или мрежи.

Чл. 90. (1) Задължителните общи условия за сигурност на АИС или мрежи обхващат компютърната, комуникационната, криптографската, физическата и персоналната сигурност, сигурността на самата информация на всякакъв електронен носител, както и защитата от паразитни електромагнитни излъчвания, определени в наредба, приета от Министерския съвет по предложение на министъра на вътрешните работи.

(2) Задължителните специфични изисквания за сигурност на АИС или мрежи във всяка организационна единица се определят от ръководителя на организационната единица по предложение на служителя по сигурността на информацията. Тези изисквания подлежат на утвърждаване от дирекция "Защита на средствата за връзка" на Министерството на вътрешните работи.

(3) Изискванията по ал. 2 включват подробно описание на мерките за сигурност, които се прилагат, и правилата за сигурност, които се спазват при проектиране и експлоатация на конкретната АИС или мрежа.

(4) Изискванията по ал. 2 се изготвят на етапа на проектиране на АИС или мрежи и при необходимост се изменят и допълват в процеса на изграждане и развитие на системата.

(5) Всички последващи промени в изискванията по ал. 2 се утвърждават от дирекция "Защита на средствата за връзка" на Министерството на вътрешните работи.

Чл. 91. Преди въвеждане в експлоатация на АИС или мрежи дирекция "Защита на средствата за връзка" на Министерството на вътрешните работи извършва комплексна оценка на сигурността им съгласно изискванията на чл. 90 и издава сертификат по чл. 14, т. 2 по образец, посочен в наредбата по чл. 90, ал. 1.

Чл. 92. Ръководителят на организационната единица, в която се използват АИС или мрежи за обработка на класифицирана информация, по предложение на служителя по сигурността на информацията назначава или възлага на назначени служители от административното звено по сигурността и охраната функции по контрола за спазване на изискванията за сигурност на тези системи или мрежи.

Чл. 93. Не се допуска създаване, обработване, съхраняване и пренасяне на класифицирана информация в АИС или мрежи без наличието на издаден сертификат за тези АИС или мрежи по реда на този раздел.

Чл. 94. Не се допуска включването на АИС или мрежи, предназначени за създаване, обработка, съхраняване и пренасяне на класифицирана информация към публични мрежи като Интернет и други подобни електронни комуникационни мрежи.

Раздел VI

Индустриална сигурност

Чл. 95. (1) Индустриалната сигурност представлява система от принципи и мерки, които се прилагат по отношение на кандидати - физически и юридически лица, при сключването или изпълнението на договор, свързан с достъп до класифицирана информация, с цел защитата й от нерегламентиран достъп.

(2) Общите изисквания за гарантиране на индустриалната сигурност се определят въз основа на този закон с наредба на Министерския съвет.

(3) По предложение на ДКСИ Министерският съвет определя с решение органа, провеждащ процедурата по проучване и издаващ удостоверение за сигурност.

(4) С договорите по ал. 1 се определят специфичните изисквания за защита на класифицираната информация, свързани с обема и нивото на класификация за сигурност, лицата, имащи достъп до нея, клаузи за отговорност в случай на неспазване на изискванията за индустриална сигурност.

Чл. 96. (1) Класифицирана информация може да бъде предоставяна само на физически лица, на които са издадени удостоверения и разрешения за достъп до класифицирана информация, и на юридически лица, на които е издадено удостоверение за такъв достъп.

(2) Извън случаите по ал. 1, ако има основание да се счита, че в процеса на дейност лице ще създаде или ще получи достъп до класифицирана информация, то е длъжно да поиска издаване на разрешение по реда на глава пета или удостоверение по реда на този раздел.

Чл. 97. (1) За получаване на удостоверение се извършва проучване на кандидата, при което се събират данни относно:

1. лицата, заемащи ръководни длъжности, както и лицата, на които е възложено непосредственото изпълнение на договора по чл. 95, ал. 1;

2. лицата, ангажирани с провеждането на преговорите във връзка със сключването на договора по чл. 95, ал. 1;

3. лицата, работещи в административното звено за сигурност на кандидата.

(2) В рамките на проучването се събират и данни за:

1. структурата и произхода на капитала на кандидата;

2. търговски партньори, финансови отношения, вещни права и други данни, необходими за преценка на надеждността на кандидата.

Чл. 98. (1) При извършване на проучването кандидатът попълва въпросник, определен с правилника за прилагане на закона.

(2) При последващо настъпване на промени в данните, попълнени от кандидата във въпросника по ал. 1, той се задължава незабавно да уведоми за това органа, извършил проучването.

Чл. 99. При предоставяне на неверни данни или при непредоставяне на данни във въпросника по чл. 98, ал. 1 кандидатът не получава удостоверение за достъп до класифицирана информация.

Чл. 100. Удостоверение за достъп до класифицирана информация се издава на кандидат, който:

1. отговаря на изискванията за сигурност по този закон и актовете по неговото прилагане;

2. е икономически стабилен;

3. е надежден от гледна точка на сигурността.

Чл. 101. (1) Не се счита за икономически стабилен кандидат, който:

1. е обявен в несъстоятелност или е в производство за обявяване в несъстоятелност;

2. е осъден за банкрут;

3. се намира в ликвидация;

4. е лишен от правото да упражнява търговска дейност;

5. има ликвидно и изискуемо задължение към държавата, към осигурителни фондове, както и към физически или юридически лица, когато е признато пред органа по принудително изпълнение или когато е установено с влязло в сила съдебно решение, с нотариално заверен документ или с ценна книга, издадена от трето лице;

6. е осъден с влязла в сила присъда за престъпление против собствеността или против стопанството, освен ако е реабилитиран.

(2) Изискването по ал. 1, т. 6 се отнася и за управителите, съответно за членовете на управителните органи на кандидатите.

(3) Обстоятелствата по ал. 1 се удостоверяват с документ от съответния компетентен орган.

Чл. 102. (1) Кандидатът не се счита за надежден от гледна точка на сигурността, ако:

1. се установят данни, че не отговаря на изискванията по чл. 41;

2. се установи, че посочените от кандидата за проучване лица не отговарят на изискванията за сигурност по чл. 40.

(2) В случая по ал. 1, т. 2 кандидатът може да предложи други лица.

(3) Проучването на кандидата за надеждност от гледна точка на сигурността по ал. 1 се извършва от службите за сигурност.

Чл. 103. (1) В зависимост от резултата от проведеното проучване органът, който го извършва, издава удостоверение за сигурност или отказва издаването му.

(2) Отказва се издаване на удостоверение за сигурност, когато кандидатът не отговаря на изискванията по чл. 100.

(3) Отказът по ал. 2 не се мотивира, като се посочва само правното основание за издаването му.

Чл. 104. (1) Удостоверението, както и отказът за издаване на удостоверение за сигурност се издават по образец, утвърден от ДКСИ, и съдържат:

1. компетентния орган;

2. наименование, седалище и номер на БУЛСТАТ на кандидата, на когото се издава удостоверението или отказът;

3. правното основание за издаване на удостоверението или отказа;

4. номер на удостоверението или отказа;

5. срок на валидност на удостоверението;

6. дата и място на удостоверението или отказа;

7. подпис и печат на органа, който издава удостоверението или отказа.

(2) Удостоверението или отказът за издаване на удостоверение са писмени документи и се издават в три екземпляра, които се съхраняват в ДКСИ, в органа, извършил проучването, и в кандидата.

Чл. 105. Ръководителят на организационната единица - възложител по договора, определя лице, което осъществява контрол по спазване разпоредбите на закона и актовете по неговото прилагане и консултира изпълнителя при изпълнението на договора.

Чл. 106. Срокът на удостоверението се определя в зависимост от срока на договора, но за не повече от три години.

Чл. 107. При необходимост ново проучване се извършва по молба на кандидата, подадена не по-късно от три месеца преди датата на изтичане на валидността на действащото удостоверение до органа, провел проучването.

Чл. 108. (1) Органът, издал удостоверението, упражнява контрол с цел установяване дали кандидатът продължава да отговаря на изискванията за сигурност по този закон.

(2) В случай че лицата, получили удостоверение за сигурност, са престанали да отговарят на изискванията по чл. 100, т. 1, органът, издал удостоверението, определя срок за отстраняване на пропуските, ако те не са довели до нерегламентиран достъп до класифицирана информация.

(3) В случай че лицата, получили удостоверение за сигурност, са престанали да отговарят на някои от изискванията по чл. 100, т. 2 и 3 и не са отстранили пропуските в срока по ал. 2 или е установено, че нарушението по чл. 100, т. 1 е довело до нерегламентиран достъп до класифицирана информация, удостоверението за сигурност се отнема от органа, който го е издал.

Чл. 109. Отказът по чл. 103, ал. 2, както и отнемането на издадено удостоверение за сигурност не подлежат на обжалване по съдебен ред. Те се обжалват по реда на чл. 62 - 68.

Чл. 110. (1) Данните, събрани при проучването на кандидат по този раздел, се съхраняват от органа, извършил проучването, в отделно дело и се ползват със защита като класифицирана информация.

(2) Данните, съдържащи се в делата по ал. 1, могат да се използват за целите на този закон.

(3) Делото по ал. 1 се съхранява за срок 20 години считано от датата на прекратяване дейността на кандидата.

(4) Специалните правила за откриване, съхраняване поддържане, актуализиране, картотекиране и закриване на делата по проучванията за надеждност се определят с правилника за прилагане на закона.

Чл. 111. Защитата на класифицираната информация в областта на изобретенията и полезните модели се осъществява в съответствие с разпоредбите на Закона за патентите, освен ако този закон предвижда друго.

Чл. 112. Лицата по чл. 95, ал. 1 след получаване на удостоверение за сигурност по този раздел имат всички задължения на организационните единици по този закон.

Чл. 113. (1) Република България предоставя или обменя класифицирана информация с държави или международни организации, с които има влезли в сила международни договори за защита на класифицирана информация.

(2) Ако международният договор по ал. 1 не посочва кое е приложимото право за неуредени от него въпроси, прилага се правото на страната - източник на информацията.

Чл. 114. Решението за предоставяне или обмен на класифицирана информация по чл. 113, ал. 1 се взема от ДКСИ въз основа на предварително становище от организационната единица, която предоставя информацията.

Чл. 115. (1) В съответствие със сключения международен договор за защита на класифицирана информация ДКСИ и компетентният орган по сигурността на информацията на другата държава или международна организация следва на взаимна основа предварително да установят, че предоставяната или обменяната информация ще бъде надеждно защитена.

(2) За предварителното установяване на обстоятелството по ал. 1 компетентният орган по сигурността на информацията на другата държава или международна организация следва да удостовери пред ДКСИ, че лицата, които ще имат достъп до предоставяната или обменяната класифицирана информация, са оправомощени за достъп до съответното или по-високо ниво на класификация за сигурност чрез разрешение или удостоверение.

Чл. 116. По отношение на обменяната или предоставената на Република България класифицирана информация от страна на международна организация, чийто член е Република България, се прилагат принципите, нормите и процедурите за защита на класифицирана информация, действащи в рамките на тази международна организация, ако такова задължение произтича за Република България от членството й в международната организация.

Глава осма

АДМИНИСТРАТИВНОНАКАЗАТЕЛНИ РАЗПОРЕДБИ

Чл. 117. (1) Който наруши чл. 17, се наказва с глоба от 2000 до 20 000 лв.

(2) Когато нарушението по чл. 17 е извършено от юридическо лице, на същото се налага имуществена санкция в размер от 2000 до 20 000 лв.

(3) За допускане извършването на нарушение по ал. 2 ръководителят на юридическото лице се наказва с глоба от 1000 до 5000 лв., ако деянието не съставлява престъпление.

Чл. 118. (1) Който извърши нарушение по чл. 18 и 19 се наказва с глоба от 50 до 300 лева.

(2) Наказанието по ал. 1 се налага и на ръководител на организационна единица или на служител по сигурността на информацията, който допусне извършване на нарушение по чл. 18 и 19.

Чл. 119. Служител по сигурността на информацията, който извърши нарушение по чл. 22, се наказва с глоба от 100 до 1000 лв.

Чл. 120. (1) Който извърши нарушение по чл. 31 се наказва с глоба от 100 до 500 лв.

(2) Наказанието по ал. 1 се налага и на ръководител на организационна единица или на служител по сигурността на информацията, който допусне извършване на нарушение по чл. 31.

Чл. 121. Лице по чл. 31, ал. 1, което извърши нарушение по чл. 35, ал. 4, се наказва с глоба от 100 до 1000 лева.

Чл. 122. (1) Длъжностно лице, което извърши нарушение по чл. 43, ал. 6, се наказва с глоба от 50 до 5000 лева, ако деянието не съставлява престъпление.

(2) Наказанието по ал. 1 се налага и на ръководител на организационна единица или на служител по сигурността на информацията, който допусне извършване на нарушение по чл. 43, ал. 6.

Чл. 123. Ръководител на организационна единица или на служител по сигурността на информацията, който извърши или допусне извършването на нарушение по чл. 73, ал. 1, се наказва с глоба от 50 до 400 лв.

Чл. 124. (1) Който извърши нарушение по чл. 86, се наказва с глоба от 3000 до 10 000 лв.

(2) Когато нарушението по чл. 86 е извършено при осъществяване на дейност на юридическо лице, на същото се налага имуществена санкция в размер от 3000 до 15 000 лв.

(3) За допускане извършването на нарушението по ал. 1 ръководителят на юридическото лице се наказва с глоба от 300 до 2000 лв.

Чл. 125. Ръководител на организационна единица, който извърши или допусне извършването на нарушение по чл. 90, ал. 2, изречение второ, се наказва с глоба от 300 до 2000 лв.

Чл. 126. Ръководител на организационна единица, който извърши или допусне извършването на нарушение по чл. 92, се наказва с глоба от 500 до 1000 лв.

Чл. 127. (1) Който извърши или допусне извършването на нарушение по чл. 93, се наказва с глоба от 500 до 1000 лв.

(2) Ръководител на организационна единица, който допусне извършването на нарушение по чл. 93, се наказва с глоба от 1000 до 2000 лв.

Чл. 128. (1) Който извърши нарушение по чл. 96, се наказва с глоба от 1000 до 3000 лв.

(2) За нарушенията по ал. 1 на юридическите лица се налага имуществена санкция в размер от 1000 до 5000 лв.

(3) Ръководител на организационна единица и служител по сигурността на информацията, който извърши или допусне извършването на нарушение по чл. 96, се наказва с глоба от 500 до 1000 лв., ако деянието не съставлява престъпление.

Чл. 129. (1) Който извърши или допусне извършването на нарушение по чл. 98, ал. 2, се наказва с глоба от 500 до 1000 лв.

(2) Когато нарушението по ал. 1 е извършено при осъществяване на дейност на юридическо лице, на същото се налага имуществена санкция в размер от 1000 до 5000 лв.

Чл. 130. (1) Който извърши или допусне извършването на нарушение по чл. 108, ал. 3, се наказва с глоба от 500 до 2000 лв., ако деянието не съставлява престъпление.

(2) Когато нарушението по ал. 1 е извършено при осъществяване на дейност на юридическо лице, на същото се налага имуществена санкция в размер от 1000 до 3000 лв.

Чл. 131. Ръководител на организационна единица, който не предостави информация на компетентните органи, поискана при условията и по реда на закона, се наказва с глоба от 500 лв.

Чл. 132. В случаите, когато за нарушение на закона и нормативните актове по неговото прилагане не е предвидено друго наказание, виновният се наказва с глоба от 30 до 200 лв.

Чл. 133. Когато нарушенията по чл. 117 - 132 са извършени повторно, се налага глоба или имуществена санкция в двоен размер на първоначално наложената.

Чл. 134. (1) Актовете за установяване на нарушения по предходните членове се съставят от упълномощени от председателя на ДКСИ или от ръководителите на Национална служба "Сигурност" на Министерството на вътрешните работи, служба "Сигурност - военна полиция и военно контраразузнаване" към министъра на отбраната и дирекция "Защита на средствата за връзка" на Министерството на вътрешните работи длъжности лица, а наказателните постановления се издават от председателя на ДКСИ или от съответния ръководител на службите в зависимост от компетентността им.

(2) Установяването на нарушенията, издаването, обжалването и изпълнението на наказателните постановления се извършват по реда на Закона за административните нарушения и наказания.