Раздел VI. Дела по проучванията за надеждност

Чл. 70. (1) Делата, съдържащи материали по проучванията за надеждност, се съхраняват, поддържат, актуализират, картотекират и закриват от органа, извършил проучването, отделно от другите видове дела.

(2) Делата се откриват от компетентния орган при започване на проучването за надеждност.

(3) (Изм. - ДВ, бр. 95 от 2007 г.) Данните, съдържащи се в делата, представляват класифицирана информация и се използват за целите на този закон.

(4) Делата на лица, на които е издадено разрешение за достъп до класифицирана информация, се съхраняват за срок не по-дълъг от пет години след изтичането на срока на разрешението, след което се унищожават.

Чл. 71. (1) Делата на проучваните лица съдържат:

1. молба за постъпване на длъжност, документи за възлагане изпълнението на конкретно възложена задача, изискваща достъп до класифицирана информация, съответно молба за участие в конкурс за заемане на такава длъжност или за изпълнение на такава задача;

2. документи относно физическите или юридическите лица, кандидатстващи за сключване или изпълнение на договор, свързан с достъп до класифицирана информация;

3. писмено съгласие за проучване;

4. писмено искане за проучването;

5. попълнен въпросник;

6. разрешение, сертификат или удостоверение за достъп до класифицирана информация;

7. документ за отказване, отнемане или прекратяване на разрешение за достъп до класифицирана информация;

8. документи по назначаване или възлагане на конкретна задача;

9. документи за преминало обучение по защита на класифицирана информация;

10. други документи, съдържащи факти и обстоятелства, събрани при условията и по реда на този закон.

(2) Специалните правила за откриване, съхраняване, поддържане, актуализиране, картотекиране и закриване на делата по проучванията за надеждност се определят с правилника за прилагане на закона.
Глава шеста.
ВИДОВЕ ЗАЩИТА НА КЛАСИФИЦИРАНАТА ИНФОРМАЦИЯ

Раздел I.
Физическа сигурност

Чл. 72. (1) Физическата сигурност на класифицираната информация включва система от организационни, физически и технически мерки за предотвратяване на нерегламентиран достъп до материали, документи, техника и съоръжения, класифицирани като държавна или служебна тайна.

(2) Системата от мерки по ал. 1 включва защитата на сградите, помещенията и съоръженията, в които се създава, обработва и съхранява класифицирана информация, и контрола върху достъпа до тях.

Чл. 73. (1) Организационните единици прилагат система от мерки и средства за физическа сигурност на сгради, помещения и съоръжения, в които се създава, обработва и съхранява класифицирана информация.

(2) Физическата сигурност се прилага за защита на класифицирана информация от всякаква заплаха или вреда в резултат на:

1. терористична дейност или саботаж;

2. нерегламентиран достъп или опит за нерегламентиран достъп.

(3) Необходимите способи и средства за физическа сигурност се определят в зависимост от нивото на класификация и количеството на класифицираната информация, от броя и нивото на достъп на работниците и служителите, определени съгласно чл. 3, от степента на заплаха от увреждащи действия.

Чл. 74. За предотвратяване на нерегламентиран достъп до класифицирана информация ръководителите на организационните единици с помощта на служителите по сигурността на информацията:

1. определят зоните за сигурност;

2. определят около зоните за сигурност административни зони, в които се извършва контрол на хора и моторни превозни средства и които са с най-ниско ниво на сигурност;

3. въвеждат контролиран режим на влизане, движение и излизане от зоната за сигурност, както и задължително придружаване в тези зони на лица без право на достъп или с право на достъп до по-ниско ниво на класификация;

4. осигуряват съответен контрол над зоните за сигурност и административните зони чрез служители от звената по сигурност и охрана;

5. въвеждат специален режим за съхраняване на ключове от помещения, каси и други съоръжения, служещи за съхраняване на класифицирана информация.

Чл. 75. За осигуряване защитата на класифицираната информация, представляваща държавна тайна, при срещи, разговори, съвещания, заседания и др., предмет на които е такава информация, се въвеждат допълнителни мерки за сигурност срещу подслушване и наблюдение.

Чл. 76. Лицата, участващи в срещи, съвещания и заседания, чийто предмет е класифицирана информация, представляваща държавна тайна, се проверяват предварително от звената за сигурност и охрана в организационната единица.

Чл. 77. (1) Всички материали и технически средства, които се използват за защита на класифицирана информация, трябва да отговарят на изискванията за стабилност и неразрушимост, съответни на нивото на класификация за сигурност на информацията, сертифицирани от ДКСИ или от друг орган, определен с решение на Министерския съвет.

(2) Други технически средства могат да се използват само по изключение, при условие че няма да се понижи нивото, необходимо за даденото ниво на класификация за сигурност на информацията.

(3) Средствата за физическа сигурност, сертифицирани за всяко ниво на класификация за сигурност, се определят в списък, утвърден от ДКСИ.

Чл. 78. Системата от мерки, способи и средства за физическа сигурност, условията и редът за използването им се определят с наредба на Министерския съвет.

Чл. 79. Служителите по сигурността на информацията извършват предварителен и текущ контрол по отношение на организацията, способите и средствата за физическа сигурност в организационната единица.
Раздел II.
Документална сигурност

Чл. 80. (1) Документалната сигурност се състои в система от мерки, способи и средства за защита на класифицираната информация при създаването, обработването и съхраняването на документи, както и при организирането и работата на регистратури за класифицирана информация.

(2) Системата от мерки, способи и средства за документална сигурност, условията и редът за използването им се определят с правилника за прилагане на закона.

Чл. 81. За осигуряване защита на класифицираната информация ръководителите на организационните единици определят допълнителни специални процедури и изисквания в рамките на своята компетентност.

Чл. 82. (1) В рамките на организационната единица се създава отделно организационно звено - регистратура за класифицирана информация, отговорно за надлежното създаване, обработване, съхраняване и предаване на упълномощени лица на материали, съдържащи класифицирана информация. Регистратурите за класифицирана информация са пряко подчинени на служителя по сигурността на информацията.

(2) Изискванията за изграждане и функциониране на регистратурите по ал. 1 се регламентират в правилника за прилагане на закона.

Чл. 83. (1) Персоналната сигурност представлява система от принципи и мерки, прилагани от компетентните органи по съответния ред спрямо лица с цел гарантиране на тяхната надеждност с оглед защита на класифицираната информация.

(2) Принципите и мерките по ал. 1 включват принципа "необходимост да се знае", процедурата по проучване на лицата и издаването на разрешение за достъп по глава пета, провеждането на обучение на лицата по реда на закона и правилника за неговото прилагане и осъществяването на контрол в тази област.
Раздел IV.
Криптографска сигурност

Чл. 84. Криптографската сигурност представлява система от криптографски методи и средства, които се прилагат с цел защита на класифицираната информация от нерегламентиран достъп при нейното създаване, обработка, съхраняване и пренасяне.

Чл. 85. (Изм. - ДВ, бр. 109 от 2007 г., в сила от 01.01.2008 г.) Условията и редът за използването, производството и вносът на криптографски методи и средства за защита на класифицирана информация се определят с наредба, приета от Министерския съвет по предложение на председателя на Държавна агенция "Национална сигурност".

Чл. 86. (Изм. - ДВ, бр. 109 от 2007 г., в сила от 01.01.2008 г.) За защита на класифицираната информация се прилагат криптографски методи и средства само след предварително одобрение и регистрация от Държавна агенция "Национална сигурност".

Чл. 87. (1) (Изм. - ДВ, бр. 109 от 2007 г., в сила от 01.01.2008 г.) Производството и разпределянето на необходимите криптографски ключове се извършва от Държавна агенция "Национална сигурност".

(2) (Изм. - ДВ, бр. 109 от 2007 г., в сила от 01.01.2008 г.) Дейностите по ал. 1 могат да се извършват и от други организационни единици след разрешението и под контрола на Държавна агенция "Национална сигурност".

Чл. 88. (1) В рамките на организационната единица прилагането на криптографските методи и средства се извършва от служителя по сигурността на информацията или от други служители от административното звено по сигурността, преминали обучение в областта на криптографската сигурност и получили разрешение за работа с криптографски средства.

(2) (Изм. - ДВ, бр. 109 от 2007 г., в сила от 01.01.2008 г.) Разрешението по ал. 1 се издава от Държавна агенция "Национална сигурност" след проучване на лицата по чл. 46, т. 3. Издаването, прекратяването и отнемането на разрешение се извършва при условията и по реда на глава пета. Отказът, прекратяването и отнемането не подлежат на обжалване по съдебен ред.

(3) (Изм. - ДВ, бр. 109 от 2007 г., в сила от 01.01.2008 г.) Обучението по ал. 1 се извършва от Държавна агенция "Национална сигурност" или от други организационни единици след разрешението и под контрола на Държавна агенция "Национална сигурност".
Раздел V.
Сигурност на автоматизираните информационни системи или мрежи

Чл. 89. Сигурността на автоматизираните информационни системи (АИС) или мрежи представлява система от принципи и мерки за защита от нерегламентиран достъп до класифицираната информация, създавана, обработвана, съхранявана и пренасяна в АИС или мрежи.

Чл. 90. (1) (Изм. - ДВ, бр. 36 от 2008 г.) Задължителните общи условия за сигурност на АИС или мрежи обхващат компютърната, комуникационната, криптографската, физическата и персоналната сигурност, сигурността на самата информация на всякакъв електронен носител, както и защитата от паразитни електромагнитни излъчвания, определени в наредба, приета от Министерския съвет по предложение на председателя на Държавна агенция "Национална сигурност".

(2) (Изм. - ДВ, бр. 109 от 2007 г., в сила от 01.01.2008 г.) Задължителните специфични изисквания за сигурност на АИС или мрежи във всяка организационна единица се определят от ръководителя на организационната единица по предложение на служителя по сигурността на информацията. Тези изисквания подлежат на утвърждаване от Държавна агенция "Национална сигурност".

(3) Изискванията по ал. 2 включват подробно описание на мерките за сигурност, които се прилагат, и правилата за сигурност, които се спазват при проектиране и експлоатация на конкретната АИС или мрежа.

(4) Изискванията по ал. 2 се изготвят на етапа на проектиране на АИС или мрежи и при необходимост се изменят и допълват в процеса на изграждане и развитие на системата.

(5) (Изм. - ДВ, бр. 109 от 2007 г., в сила от 01.01.2008 г.) Всички последващи промени в изискванията по ал. 2 се утвърждават от Държавна агенция "Национална сигурност".

Чл. 91. (Изм. - ДВ, бр. 109 от 2007 г. в сила от 01.01.2008 г.) Преди въвеждане в експлоатация на АИС или мрежи Държавна агенция "Национална сигурност" извършва комплексна оценка на сигурността им съгласно изискванията на чл. 90 и издава сертификат по чл. 14, т. 2 по образец, посочен в наредбата по чл. 90, ал. 1.

Чл. 92. Ръководителят на организационната единица, в която се използват АИС или мрежи за обработка на класифицирана информация, по предложение на служителя по сигурността на информацията назначава или възлага на назначени служители от административното звено по сигурността и охраната функции по контрола за спазване на изискванията за сигурност на тези системи или мрежи.

Чл. 93. Не се допуска създаване, обработване, съхраняване и пренасяне на класифицирана информация в АИС или мрежи без наличието на издаден сертификат за тези АИС или мрежи по реда на този раздел.

Чл. 94. Не се допуска включването на АИС или мрежи, предназначени за създаване, обработка, съхраняване и пренасяне на класифицирана информация към публични мрежи като Интернет и други подобни електронни комуникационни мрежи.

Чл. 94а. (Нов - ДВ, бр. 103 от 2012 г.) Държавна агенция "Национална сигурност" отнема издадения сертификат по чл. 14, т. 2 по писмено предложение на органа по прекия контрол по защита на класифицираната информация при констатирани системни нарушения на изискванията за сигурност на класифицираната информация, създавана, обработвана, съхранявана и пренасяна в АИС или мрежа.

Чл. 94б. (Нов - ДВ, бр. 103 от 2012 г.) Държавна агенция "Национална сигурност" прекратява действието на издадения сертификат по чл. 14, т. 2:

1. с изтичане срока на действие на издадения сертификат за сигурност на АИС или мрежи;

2. при премахване или промяна на нивото на класификация на информацията, която се създава, обработва, съхранява и пренася в АИС или мрежи;

3. при прекратяване експлоатацията на АИС или мрежи;

4. при закриване на организационната единица без правоприемник.

Чл. 94в. (Нов - ДВ, бр. 103 от 2012 г.) Отнемането и прекратяването на издаден сертификат по чл. 14, т. 2:

1. не подлежи на обжалване по съдебен ред;

2. може да се обжалва пред ДКСИ при условията, по реда и в срока по глава пета, раздел V.

Чл. 95. (1) Индустриалната сигурност представлява система от принципи и мерки, които се прилагат по отношение на кандидати - физически и юридически лица, при сключването или изпълнението на договор, свързан с достъп до класифицирана информация, с цел защитата й от нерегламентиран достъп.

(2) Общите изисквания за гарантиране на индустриалната сигурност се определят въз основа на този закон с наредба на Министерския съвет.

(3) По предложение на ДКСИ Министерският съвет определя с решение органа, провеждащ процедурата по проучване и издаващ удостоверение за сигурност.

(4) С договорите по ал. 1 се определят специфичните изисквания за защита на класифицираната информация, свързани с обема и нивото на класификация за сигурност, лицата, имащи достъп до нея, клаузи за отговорност в случай на неспазване на изискванията за индустриална сигурност.

Чл. 96. (1) Класифицирана информация може да бъде предоставяна само на физически лица, на които са издадени удостоверения и разрешения за достъп до класифицирана информация, и на юридически лица, на които е издадено удостоверение за такъв достъп.

(2) Извън случаите по ал. 1, ако има основание да се счита, че в процеса на дейност лице ще създаде или ще получи достъп до класифицирана информация, то е длъжно да поиска издаване на разрешение по реда на глава пета или удостоверение по реда на този раздел.

Чл. 97. (1) За получаване на удостоверение се извършва проучване на кандидата, при което се събират данни относно:

1. лицата, заемащи ръководни длъжности, както и лицата, на които е възложено непосредственото изпълнение на договора по чл. 95, ал. 1;

2. лицата, ангажирани с провеждането на преговорите във връзка със сключването на договора по чл. 95, ал. 1;

3. лицата, работещи в административното звено за сигурност на кандидата.

(2) В рамките на проучването се събират и данни за:

1. структурата и произхода на капитала на кандидата;

2. търговски партньори, финансови отношения, вещни права и други данни, необходими за преценка на надеждността на кандидата.

Чл. 98. (1) При извършване на проучването кандидатът попълва въпросник, определен с правилника за прилагане на закона.

(2) При последващо настъпване на промени в данните, попълнени от кандидата във въпросника по ал. 1, той се задължава незабавно да уведоми за това органа, извършил проучването.

Чл. 99. При предоставяне на неверни данни или при непредоставяне на данни във въпросника по чл. 98, ал. 1 кандидатът не получава удостоверение за достъп до класифицирана информация.

Чл. 100. Удостоверение за достъп до класифицирана информация се издава на кандидат, който:

1. отговаря на изискванията за сигурност по този закон и актовете по неговото прилагане;

2. е икономически стабилен;

3. е надежден от гледна точка на сигурността.

Чл. 101. (1) Не се счита за икономически стабилен кандидат, който:

1. е обявен в несъстоятелност или е в производство за обявяване в несъстоятелност;

2. е осъден за банкрут;

3. се намира в ликвидация;

4. е лишен от правото да упражнява търговска дейност;

5. има ликвидно и изискуемо задължение към държавата, към осигурителни фондове, както и към физически или юридически лица, когато е признато пред органа по принудително изпълнение или когато е установено с влязло в сила съдебно решение, с нотариално заверен документ или с ценна книга, издадена от трето лице;

6. е осъден с влязла в сила присъда за престъпление против собствеността или против стопанството, освен ако е реабилитиран.

(2) Изискването по ал. 1, т. 6 се отнася и за управителите, съответно за членовете на управителните органи на кандидатите.

(3) Обстоятелствата по ал. 1 се удостоверяват с документ от съответния компетентен орган.

Чл. 102. (1) Кандидатът не се счита за надежден от гледна точка на сигурността, ако:

1. се установят данни, че не отговаря на изискванията по чл. 41;

2. се установи, че посочените от кандидата за проучване лица не отговарят на изискванията за сигурност по чл. 40.

(2) В случая по ал. 1, т. 2 кандидатът може да предложи други лица.

(3) Проучването на кандидата за надеждност от гледна точка на сигурността по ал. 1 се извършва от службите за сигурност.

Чл. 103. (1) В зависимост от резултата от проведеното проучване органът, който го извършва, издава удостоверение за сигурност или отказва издаването му.

(2) Отказва се издаване на удостоверение за сигурност, когато кандидатът не отговаря на изискванията по чл. 100.

(3) Отказът по ал. 2 не се мотивира, като се посочва само правното основание за издаването му.

Чл. 104. (1) Удостоверението, както и отказът за издаване на удостоверение за сигурност се издават по образец, утвърден от ДКСИ, и съдържат:

1. компетентния орган;

2. наименование, седалище и номер на БУЛСТАТ на кандидата, на когото се издава удостоверението или отказът;

3. правното основание за издаване на удостоверението или отказа;

4. номер на удостоверението или отказа;

5. срок на валидност на удостоверението;

6. дата и място на удостоверението или отказа;

7. подпис и печат на органа, който издава удостоверението или отказа.

(2) Удостоверението или отказът за издаване на удостоверение са писмени документи и се издават в три екземпляра, които се съхраняват в ДКСИ, в органа, извършил проучването, и в кандидата.

Чл. 105. Ръководителят на организационната единица - възложител по договора, определя лице, което осъществява контрол по спазване разпоредбите на закона и актовете по неговото прилагане и консултира изпълнителя при изпълнението на договора.

Чл. 106. (Изм. - ДВ, бр. 95 от 2007 г.) (1) Удостоверението за сигурност се издава за срок не по-дълъг от три години.

(2) Не се извършва ново проучване на физически или юридически лица, които в срока на издаденото удостоверение за сигурност кандидатстват за изпълнение на друг договор, свързан с достъп до класифицирана информация от същото или по-ниско ниво на класификация за сигурност на информацията, за което са получили удостоверение за сигурност.

Чл. 107. (Изм. - ДВ, бр. 95 от 2007 г.) (1) При необходимост най-малко три месеца преди изтичането на срока на валидност на издаденото удостоверение за сигурност се извършва ново проучване по отношение на физическото или юридическото лице, ако то продължава да изпълнява същия или друг договор, който изисква достъп до класифицирана информация.

(2) Проучването по ал. 1 и издаването на ново удостоверение за сигурност се извършват от съответния компетентен орган по чл. 95, ал. 3 при условията и по реда на този раздел.

Чл. 108. (1) Органът, издал удостоверението, упражнява контрол с цел установяване дали кандидатът продължава да отговаря на изискванията за сигурност по този закон.

(2) В случай че лицата, получили удостоверение за сигурност, са престанали да отговарят на изискванията по чл. 100, т. 1, органът, издал удостоверението, определя срок за отстраняване на пропуските, ако те не са довели до нерегламентиран достъп до класифицирана информация.

(3) В случай че лицата, получили удостоверение за сигурност, са престанали да отговарят на някои от изискванията по чл. 100, т. 2 и 3 и не са отстранили пропуските в срока по ал. 2 или е установено, че нарушението по чл. 100, т. 1 е довело до нерегламентиран достъп до класифицирана информация, удостоверението за сигурност се отнема от органа, който го е издал.

Чл. 109. Отказът по чл. 103, ал. 2, както и отнемането на издадено удостоверение за сигурност не подлежат на обжалване по съдебен ред. Те се обжалват по реда на чл. 62 - 68.

Чл. 110. (1) Данните, събрани при проучването на кандидат по този раздел, се съхраняват от органа, извършил проучването, в отделно дело и се ползват със защита като класифицирана информация.

(2) Данните, съдържащи се в делата по ал. 1, могат да се използват за целите на този закон.

(3) Делото по ал. 1 се съхранява за срок 20 години считано от датата на прекратяване дейността на кандидата.

(4) Специалните правила за откриване, съхраняване поддържане, актуализиране, картотекиране и закриване на делата по проучванията за надеждност се определят с правилника за прилагане на закона.

Чл. 111. Защитата на класифицираната информация в областта на изобретенията и полезните модели се осъществява в съответствие с разпоредбите на Закона за патентите, освен ако този закон предвижда друго.

Чл. 112. Лицата по чл. 95, ал. 1 след получаване на удостоверение за сигурност по този раздел имат всички задължения на организационните единици по този закон.

Чл. 113. (1) Република България предоставя или обменя класифицирана информация с държави или международни организации, с които има влезли в сила международни договори за защита на класифицирана информация.

(2) Ако международният договор по ал. 1 не посочва кое е приложимото право за неуредени от него въпроси, прилага се правото на страната - източник на информацията.

Чл. 114. Решението за предоставяне или обмен на класифицирана информация по чл. 113, ал. 1 се взема от ДКСИ въз основа на предварително становище от организационната единица, която предоставя информацията.

Чл. 115. (1) В съответствие със сключения международен договор за защита на класифицирана информация ДКСИ и компетентният орган по сигурността на информацията на другата държава или международна организация следва на взаимна основа предварително да установят, че предоставяната или обменяната информация ще бъде надеждно защитена.

(2) За предварителното установяване на обстоятелството по ал. 1 компетентният орган по сигурността на информацията на другата държава или международна организация следва да удостовери пред ДКСИ, че лицата, които ще имат достъп до предоставяната или обменяната класифицирана информация, са оправомощени за достъп до съответното или по-високо ниво на класификация за сигурност чрез разрешение или удостоверение.

Чл. 116. По отношение на обменяната или предоставената на Република България класифицирана информация от страна на международна организация, чийто член е Република България, се прилагат принципите, нормите и процедурите за защита на класифицирана информация, действащи в рамките на тази международна организация, ако такова задължение произтича за Република България от членството й в международната организация.