Държавен вестник, брой 5 от 17.I

Приложение № 1 към чл. 25, ал. 2

(Доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.)

Общи стратегии за мрежова и информационна сигурност (Загл. доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.)

1. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) Политиката за мрежова и информационна сигурност е набор от нормативни документи, правила и норми за поведение, които определят как организацията защищава обработката, съхранението и разпространението на информацията.

2. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) Политиката за сигурност на информационни системи на административните органи трябва да бъде съобразена с групата международни стандарти ISO 270ХХ, обединяваща мнозинството от съществуващи стандарти за управление на мрежовата и информационната сигурност - основно със стандарта ISO 27001:2005, предоставящ модел на система за управление на мрежовата и информационната сигурност за адекватен и пропорционален контрол на сигурността за защита на информационните активи и създаване на доверие в заинтересуваните страни.

3. Решенията относно политиките за мрежова и информационна сигурност трябва да се изграждат за осигуряване няколко нива на сигурност по отношение на:

а) мрежа;

б) система;

в) приложения;

г) информация.

4. За всяко от нивата по т. 3 трябва да се осигури съответният контрол с цел да се обезпечи сигурността на общото програмно приложение за защита. За осигуряване на адекватно ниво на сигурност трябва да се прилага практиката, наречена "дълбока отбрана", обезпечаваща многослойна защита, за ограничаване проникването на всякакви атаки и осигуряване на невъзможност за компрометиране на общото програмно приложение за защита.

5. При създаването на политика за сигурност трябва да се използват следните принципи:

а) "Минимална привилегия" - концепция, при която се ограничава достъпът само до ресурси, които са необходими за изпълняване на одобрените функции. Определен ползвател или процес трябва да има само такива права, които са необходими за изпълняване на конкретната задача.

б) "Дълбока отбрана" - концепция, при която се поверява защитата на повече от един компонент или механизъм, осигуряващ сигурността по такъв начин, че невъзможността на един компонент или механизъм да ограничи атаката да не доведе до компрометиране на общата защита.

в) "Точка на запушване" - концепция, при която се принуждават лица, извършващи интервенции, да използват тесен канал за достъп, който позволява действията да бъдат наблюдавани и контролирани. Обикновено се прилага на входа и изхода на т.нар. "Демилитаризирани зони" ("DMZ").

г) "Най-слабо звено" - концепция, при която се наблюдават и елиминират звената с най-слаба устойчивост на интервенции или с наличие на възможност за проникване.

д) "Позиция на безопасно спиране" - концепция, при която системите трябва да преустановяват работа безопасно и да се предотврати възможността при неочакваното преустановяване на работа на една система да се осигури достъп на лицата, извършващи интервенции до системата.

е) "Универсално участие" - концепция, при която всички звена на системата следят за сигурността при наличие на разпределение на функциите за това, което ограничава възможността на лицата, извършващи интервенции, да се възползват от липсата на защитна активност от конкретно звено.

ж) "Разнообразие на защитата" - концепция, при която не се разчита само на една система или приложение за сигурност, независимо от това, колко надеждни или изчерпателни са те.

з) "Простота" - концепция, при която се осигурява поддържането на опростена обща среда, за която се осигурява по-лесно защита срещу интервенции.

и) "Фрагментиране" - концепция, при която се осигурява свеждане до минимум на възможните вредни последици върху една информационна система чрез фрагментиране на максимален брой отделни единици; по този начин се ограничава възможността за достъп до цялата система в случай на проникване в изолирана единица.

к) "Защита срещу вътрешни и външни заплахи" - концепция, при която се въвеждат правила за потребителите за недопускане действия на служителите, които да осигуряват възможност за интервенции; такива правила могат да бъдат правила за управление на съдържанието, допълнителни нива за идентификация, регистрация за достъп до критични информационни активи и др.

Приложение № 2 към чл. 28, ал. 3

(Доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.)

Функции на служителя (звеното) по мрежова и информационна сигурност (Загл. доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.)

1. Ръководи дейностите, свързани с постигане на мрежова и информационна сигурност на администрацията, в която работи, в съответствие с нормативната уредба и политиките и целите за мрежова и информационна сигурност на организацията във взаимодействие със звената за информационно осигуряване и за вътрешен одит.

2. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) Следи за прилагането на стандартите, политиките и правилата за мрежова и информационна сигурност и управление на риска в администрацията.

3. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) Консултира ръководството на администрацията във връзка с мрежовата и информационната сигурност.

4. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) Ръководи периодичните оценки на рисковете за мрежовата и информационната сигурност и спазването на приетите политики и процедури.

5. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) Периодично (не по-малко от два пъти годишно) изготвя доклади за състоянието на мрежовата и информационната сигурност в административното звено и ги представя на ръководителя.

6. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) Координира обучението на ръководителите и служителите в административното звено във връзка с мрежовата и информационната сигурност.

7. Участва в организирането, тренировките и анализа на резултатите от тренировките за действия при настъпване на инциденти.

8. Отговаря за защитата на интелектуалната собственост и материалните активи на административното звено в областта на информационните и комуникационните технологии.

9. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) Участва в изготвянето на политиките, целите, процедурите и метриката за оценка на мрежовата и информационната сигурност.

10. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) Поддържа връзки с други администрации, организации и експерти, работещи в областта на мрежовата и информационната сигурност.

11. Разследва и анализира инцидентите в областта на мрежовата и информационната сигурност в административното звено, реакциите при инциденти и предлага действия за подобряване на мрежовата и информационната сигурност.

12. Предлага санкции за служителите от администрацията при нарушаване на правилата за сигурност.

13. Разработва и предлага за утвърждаване от ръководителя на съответната администрация инструкциите, произтичащи от наредбата, както и всички други необходими указания и процедури.

14. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) Следи за изпълнението на утвърдените от ръководителя на администрацията инструкции и процедури, свързани с мрежовата и информационната сигурност.

15. Актуализира списъка от заплахи и потенциални рискове за съответната администрация.

16. Координира оценяването на финансовите и други загуби при настъпване на идентифицирана заплаха.

17. Изготвя доклади и анализи за настъпили инциденти, засягащи мрежовата и информационната сигурност, и предлага действия за компенсиране на последствията и предотвратяване на други подобни инциденти.

18. Следи новостите за заплахи за сигурността, отчитайки наличния в съответната администрация софтуер и хардуер, и организира своевременното инсталиране на коригиращ софтуер (patches).

19. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) При възникване на какъвто и да е инцидент, свързан с мрежовата и информационната сигурност, го документира и информира незабавно ръководителя на съответната администрация и Националния център за действие при инциденти по отношение на мрежовата и информационната сигурност в информационните системи на административните органи.

20. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) Разработва и предлага иновативни решения и архитектури за подобряване на мрежовата и информационната сигурност на съответната администрация.

21. Следи за появата на нови вируси и зловреден код, спам, атаки и взема адекватни мерки.

22. Организира тестове за проникване, разкрива слабите места в мрежата на съответното административно звено и предлага мерки за подобряване на мрежовата и информационната сигурност.

Приложение № 3 към чл. 31, ал. 2

(Доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.)

Действия по оценка и управление на риска

1. Всички административни органи са длъжни да оценяват рисковете за сигурността съгласно международния стандарт ISO/IEC TR 13335-3:1998 и ISO/IEC TR 13335-4:2000 (в процес на преработване в ISO/IEC 27005).

2. По смисъла на това приложение рискът за сигурността е фактическо състояние, което създава заплахи за уязвяване на един или няколко информационни актива, което да предизвика тяхното повреждане или унищожаване.

3. Оценката на риска се определя чрез изчисление на вероятността за уязвяване въз основа на ефективността на съществуващите или планираните мерки за сигурност.

4. Заплахите за мрежовата и информационната сигурност се класифицират по следните критерии:

а) (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) по елементите на мрежовата и информационната сигурност (достъпност, цялостност, конфиденциалност), към които са насочени;

б) по компонентите на информационната система (апаратура, софтуер, данни, поддържаща инфраструктура), към които са насочени;

в) по начина на осъществяване (случайни/преднамерени действия, от природен/технологичен характер и др.);

г) по разположението на източника (вътре във/извън информационната система).

5. Действията по управление на риска трябва да обхващат оценка на неговия размер, изработване на ефективни и икономични мерки за неговото снижаване и оценка дали резултативният риск е в приемливи граници. Управлението на риска следва да се извършва чрез последователно прилагане на два типа циклично повтарящи се действия:

а) оценка (преоценка) на риска;

б) избор на ефективни и икономични средства за неговата неутрализация.

6. При идентифициране на риск трябва да се предприеме едно от следните действия:

а) ликвидиране на риска (например чрез отстраняване на причиняващите го обстоятелства);

б) намаляване на риска (например чрез използване на допълнителни защитни средства);

в) приемане на риска и разработване на план за действия в обстановка на риск;

г) преадресиране на риска (например чрез сключване на съответната застраховка).

7. Процесът на управление на риска трябва да включва следните етапи:

а) избор на анализируемите обекти и нивото на детайлизация на анализа;

б) избор на методология за оценка на риска;

в) идентификация на информационните активи;

г) анализ на заплахите и последствията от тях, откриване на уязвимите места в защитата;

д) оценка на рисковете;

е) избор на защитни мерки;

ж) реализация и проверка на избраните мерки;

з) оценка на остатъчния риск.

8. Процесът на управление на риска трябва да бъде цикличен процес. Последният етап се явява начало на нов цикъл на оценка. Новият цикъл се провежда:

а) ако остатъчният риск не удовлетворява ръководството на администрацията;

б) след изтичане на определен срок, определен във вътрешните правила за мрежовата и информационната сигурност на администрацията.

Приложение № 4 към чл. 31, ал. 3

Заплахи срещу мрежовата и информационната сигурност, формулирани в международния стандарт ISO/IEC TR 13335:2000

Видовете заплахи, които могат да застрашат конфиденциалността, интегритета и достъпността, са следните:

1. Подслушване, изразяващо се в достъп до служебна информация чрез прихващане на електронни съобщения независимо от използваната технология.

2. Електромагнитно излъчване, изразяващо се в действия на трето лице, целящо да получи знание за обменяни данни посредством информационна система.

3. Нежелан код, който може да доведе до загуба на конфиденциалността чрез записването и разкриването на пароли и до нарушаване на интегритета при интервенции от трети лица, осъществили нерегламентиран достъп с помощта на такъв код. Нежелан код може да се използва, за да се заобиколи проверка за достоверност, както и всички защитни функции, свързани с нея. В резултат кодът може да доведе до загуба на достъпността, когато данните или файловете са разрушени от лицето, получило нерегламентиран достъп с помощта на нежелан код.

4. Маскиране на потребителската идентичност може да доведе до заобикаляне на проверката за достоверност и всички услуги и защитни функции, свързани с нея.

5. Погрешно насочване или пренасочване на съобщенията може да доведе до загуба на конфиденциалност, ако се осъществи нерегламентиран достъп от трети лица. Погрешното насочване или пренасочване на съобщенията може да доведе и до нарушаване на интегритета, ако погрешно насочените съобщения са променени и след това насочени към първоначалния адресат. Погрешното насочване на съобщения води до загуба на достъпността до тези съобщения.

6. Софтуерни грешки могат да застрашат конфиденциалността, ако софтуерът е създаден с контрол на достъпа или за криптиране или ако грешка в софтуера осигури възможност за нежелан достъп в информационна система.

7. Кражбата на информационни активи може да доведе до разкриване на информация, която представлява служебна или друга защитена от закона тайна. Кражбата може да застраши достъпността до данните или информационното оборудване.

8. Нерегламентиран достъп до компютри, информационни ресурси, услуги и приложения може да доведе до разкриване на поверителни данни и до нарушаване интегритета на тези данни, ако нерегламентираната им промяна е възможна. Нерегламентираният достъп до компютри, данни, услуги и приложения може да наруши достъпността до данните, ако тяхното изтриване или заличаване е възможно.

9. Нерегламентиран достъп до носител на данни може да застраши съхраняваните върху него данни.

10. Повреждане на носител на информация може да наруши интегритета и достъпността до данните, които се съхраняват на този носител.

11. Грешка при поддръжката. Неизвършването на редовна поддръжка на информационните системи или допускане на грешки по време на процеса по поддръжка може да доведе до нарушаване на достъпността до данни.

12. Аварии в електрозахранване и климатични инсталации могат да доведат до нарушаване на интегритета и достъпността до данни, ако вследствие на настъпването на авариите са увредени информационни системи или носители на данни.

13. Технически аварии (например аварии в мрежите) могат да нарушат интегритета и достъпността до информация, която се съхранява или разпространява чрез тази мрежа.

14. Грешки при предаването на информацията могат да доведат до нарушаване на нейната цялост и достъпност.

15. Употреба на нерегламентирани програми и информация могат да нарушат интегритета и достъпността до данните, съхранявани и разпространявани чрез информационната система, в която е настъпило такова събитие, и програмите и информацията се използват, за да се изменят съществуващи програми и данни по неразрешен начин или ако те съдържат нежелан код.

16. Потребителски грешки могат да нарушат интегритета и достъпността до данни чрез неумишлено или умишлено действие.

17. Липса на потвърждаване може да застраши интегритета на данните. Предпазните мерки за предотвратяване на непотвърждаването трябва да се прилагат в случаите, когато е важно да се получи доказателство за това, че дадено съобщение е изпратено и е/не е получено, както и за това, че мрежата е пренесла съобщението.

18. Интервенции срещу интегритета на данните могат да доведат до тяхното сериозно увреждане и до невъзможност от по-нататъшното им използване.

19. Аварии в комуникационното оборудване и услуги могат да увредят достъпността на данните, предавана чрез тези услуги.

20. Външни въздействия с огън, вода, химикали и др. могат да доведат до увреждане или унищожаване на информационното оборудване.

21. Злоупотреба с ресурси може да доведе до недостъпност до данни или услуги.

22. Природни бедствия могат да доведат до унищожаване на данни и информационни системи.

23. Претоварване на комуникационния трафик може да доведе до нарушаване на достъпността до обменяни данни.

Приложение № 5 към чл. 32, ал. 2

(Доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.)

Средства за управление на достъпа на участниците в електронния обмен

1. Защитата на системните ресурси на информационни системи на административните органи е процес, при който използването на системните ресурси се регулира в съответствие с политиката в областта на мрежовата и информационна сигурност и е позволено само за упълномощени лица чрез използваните от тях информационни системи. Това включва предотвратяването на нерегламентиран достъп до ресурсите, включително предотвратяване на достъп до ресурсите по нерегламентиран начин.

2. Управлението на защитата от нерегламентиран достъп се категоризира на няколко степени в зависимост от оценките на потенциалните последствия за администрацията при нарушаване на конфиденциалността, интегритета и/или достъпността, както следва:

а) ограничено, когато организацията продължава да изпълнява функциите си, но с понижена ефективност, на информационните активи са причинени незначителни вреди и финансовите загуби са незначителни;

б) умерено, когато ефективността на основните функции на администрацията е съществено понижена, на информационните активи са причинени значителни вреди и финансовите загуби са значителни;

в) високо, когато загубата на конфиденциалност, интегритет и/или достъпност оказва тежко или непоправимо въздействие на администрацията, при която тя загубва способност да изпълнява основните си функции, на информационните активи са причинени тежки вреди и финансовите загуби са много големи.

3. Средствата за управление на достъпа позволяват да се определят и контролират действията, които различни ползватели на информационните системи и процеси в тях могат да извършват по отношение на информационни ресурси. Логическото управление на достъпа трябва да позволява да се определят множество допустими операции за всеки ползвател или процес и да се контролира изпълнението на установените правила.

4. Средствата за управление на достъпа на участниците в електронния обмен трябва да включват три категории функции:

а) административни функции - създаване и съпровождане на атрибути за управление на достъпа;

б) спомагателни функции - обслужване на процесите на достъп на ползвателите;

в) информационни функции - събиране на информация за процесите на достъп с оглед подобряване на взаимодействието.

5. Всяко самостоятелно звено на администрацията управлява идентификаторите на ползвателите на информационните системи чрез:

а) уникална идентификация на всеки ползвател;

б) верификация на идентификатора на всеки ползвател;

в) регламентиране на административните процедури за разпространение, заместване на загубени, компрометирани или повредени идентификатори;

г) прекратяване действието на идентификатора след определен период на липса на активност;

д) архивиране на идентификаторите.

6. Информационните системи на административните органи трябва да скриват ехо изображението на идентифициращата информация в процеса на проверка на идентичността с цел да я защитят от възможно използване от страна на неоправомощени лица.

7. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) При проверка на идентичността чрез криптографски модули информационната система трябва да прилага методи, отговарящи на стандартите, вписани в раздел "Мрежова и информационна сигурност" от регистъра на стандартите.

8. За изграждане на вътрешни правила за мрежовата и информационната сигурност в администрациите се препоръчва следното съдържание на раздела, свързан с управлението на достъпа на участниците в електронния обмен:

а) документирана политика по управление на достъпа, включваща цели, обхват, задължения, координация на организационните структури;

б) документирани процедури по присвояване на привилегии, акаунти и други права в съответствие с политиката;

в) определяне на ограничения на количеството несполучливи опити на ползвателя за вход в система за определен интервал от време, след което акаунтът му се заключва;

г) определяне на предупреждаващите съобщения, информиращи потребителя преди предоставяне на достъп, относно:

- общите ограничения, налагани от системата;

- възможния мониторинг, протоколиране и одит на използването на системата;

- необходимото съгласие на ползвателя за мониторинг и протоколиране в случай на използване на системата;

- забраните и възможните санкции при несанкционирано използване на системата;

- възможните действия на ползвателя, които могат да бъдат изпълнени от информационната система без необходимост от аутентикация и оторизация.

9. В съответствие с процедурите по т. 3 ръководителите на администрациите организират провеждането на следните мероприятия:

а) организиране предоставянето на услуги на всички граждани и организации с еднакъв приоритет;

б) записване в поддържаните от системата списъци на участниците на всички граждани и организации, които са участвали в електронния информационен обмен в информационните системи на административните органи;

в) съхраняване на архивна информация за период една година за всички участници, които са използвали електронни административни услуги от публичните информационни системи;

г) организиране достъпа на служителите от администрацията чрез система от индивидуални пароли; паролите трябва да се променят периодично, но най-малко веднъж на 6 месеца;

д) извършване на преглед и актуализиране на правата за достъп на служителите, които поддържат работата на информационни системи в администрациите.

10. Всеки служител в администрацията, записан в съответния директориен LDAP сървър (централен или локален), трябва да получава уникални потребителско име и парола за достъп само до информационните системи, които са необходими, за да изпълнява служебните си задължения. Паролата трябва да съдържа между 8 и 16 буквено-цифрови символа и да изисква автоматична промяна всеки месец.

Приложение № 6 към чл. 35

Класификация, контрол и управление на информационните активи

1. Картите на наличните информационни ресурси в съответната администрация трябва да определят еднозначно:

а) конкретен служител за кои информационни ресурси (компютри, устройства, софтуерни продукти/системи, бази данни и др.) отговаря;

б) конкретен софтуерен продукт/информационна система и/или коя база от данни на кои компютри и устройства се използват.

2. Инвентарните списъци за наличните информационни ресурси в съответната администрация трябва да включват:

а) за хардуерни устройства (без бързо амортизируемите, като мишки, клавиатури и други подобни) минималният набор от данни, които трябва да се поддържат, включва:

- сериен номер;

- фабричен номер;

- модел;

- описание на основните технически параметри (процесор/честота, размер на паметта и вид/тип, модел на диска и размер, захранване - мощност и модел/тип, списък на аксесоарите към устройството и др.);

- дата на придобиване;

- дата на пускане в експлоатация;

- дата на извеждане от употреба;

- дата на продажба/бракуване/даряване;

- местоположение на устройството;

- име на служителя, отговарящ за функциониране на устройството;

- име/имена на служителя/служителите, ползващ/ползващи устройството;

- дати на обслужване и ремонт на устройството;

- описание на извършеното обслужване/ремонт;

- с кои устройства е свързано това устройство;

- работата на кои устройства зависи от правилното функциониране на това устройство;

- правилното функциониране на това устройство от работата на кои устройства зависи;

- кои работни процеси обслужва това устройство;

б) за софтуерни продукти минималният набор от данни, които трябва да се поддържат, включва:

- име на продукта;

- версия на продукта;

- списък на минималните изисквания към хардуера за нормална работа на продукта;

- дата на придобиване;

- дата на инсталиране и настройка;

- дата, от която започва да тече лицензът за ползване на продукта;

- машина/машини, на която/които е инсталиран продуктът;

- дата на извеждане от употреба;

- дата на изтичане на лиценза за ползване на продукта;

- дата, на която са извършени промени в настройки или в самия продукт;

- описание на извършените промени;

- име на служителя, инсталирал продукта;

- име на служителя, извършил настройките;

- име на служителя, извършил промените;

- име на файла, в който се пази състоянието преди промените;

- кои работни процеси обслужва този софтуерен продукт;

- работата на кои софтуерни продукти зависи от правилното функциониране на този софтуерен продукт;

- правилното функциониране на този софтуерен продукт от работата на кои софтуерни продукти зависи.

3. Върху работните станции и сървърите в администрациите да се инсталират само софтуерни продукти, за които съответната администрация разполага с лиценз за ползване.

4. Всички информационни системи, които се въвеждат в експлоатация в администрациите, трябва да се съпровождат с подробна документация за:

а) всички функции на клиента, приложението и базите данни;

б) административните средства за достъп и настройка;

в) схеми на базите данни с подробно описание на таблиците и връзките;

г) контролите при въвеждане и обмен на данни;

д) контролите при обработката и резултатите от обработката;

е) приложението с всички модули, "use cases", UML схеми и интерфейси.

5. Инсталирането и настройката на нови софтуерни и хардуерни продукти да се планира и всички лица, използващи засегнатите ресурси, да се уведомяват не по малко от 3 дни преди извършване на инсталацията или настройката.

6. Преди извършване на инсталация да се направят резервни копия на софтуера, файловете и базите данни, като се разработи и "roll back" план.

7. Инсталирането, настройката и поддръжката на нови софтуерни и хардуерни продукти да се извършват в периоди с минимално натоварване на съответните ресурси.

8. Преди инсталиране в оперативно действащите системи на нови софтуерни и хардуерни продукти те да се тестват в тестова среда максимално близка до реалните работни условия.

9. Служителите в администрациите носят материална отговорност за мобилните устройства, които са им предоставени за ползване. Мобилните устройства се получават от служителите, които ги използват, срещу подпис върху документ, съдържащ пълното описание на мобилното устройство и инсталирания софтуер.

10. Услугите по активен анализ на защитеността на системата (активни скенери на защитеността) позволяват да се открият и отстранят недостатъци в системата за защита на информационните активи, преди от тях да са се възползвали злонамерени лица.

Приложение № 7 към чл. 37

(Доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.)

Управление на експлоатационните процеси

1. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) Като основно средство за управление на експлоатационните процеси в информационните системи на администрациите за осигуряване на мрежова и информационна сигурност се препоръчва създаване на зони на сигурност в информационната система, произтичащи от международния стандарт ISO/IEC 15408-2 "Common Criteria".

2. Зоните на сигурност са области от софтуерната архитектура на системата, в които е определен специфичен комплекс от мерки, осигуряващи конкретно ниво на сигурност. Зоните са адекватно разделени една от друга, като преносите на данни от една зона в друга са строго регламентирани и се осъществяват през контролни обекти, като защитни стени, прокси-сървъри и др.

3. При изграждане на сигурността следва да се поддържа "демилитаризирана зона (DMZ)" - мрежова област, разположена между публичната неконтролируема част на мрежата (обичайно свързана с интернет) и вътрешната защитена част на системата. Демилитаризираната зона трябва да организира информационни услуги към двете части на мрежата, като защитава вътрешната част от нерегламентиран достъп.

4. Мерките за сигурност при управление на експлоатационните процеси в информационни системи на администрациите трябва да включват:

а) при проектиране на информационни системи да се отдава предпочитание на системи с многослойна архитектура, в които клиентът, приложението и данните са логически и физически разделени;

б) да се изготви и утвърди Инструкция за резервиране и архивиране на данни и файлове;

в) да се осигури редовно изготвяне на резервни копия на базите данни и файловете във файловите сървъри; графиците за резервиране се определят в зависимост от характера на дейността на всяка администрация; препоръчително е ежедневно резервиране;

г) да се осигури съхраняване на резервните копия в специално отделно помещение/място/огнеупорна каса;

д) да се осигури редовно обновяване на носителите, върху които се записват резервни копия (на период около 2/3 от срока им на годност);

е) да се осигури редовно изготвяне на архивни копия на базите данни и файловете във файловите сървъри; графиците за резервиране се определят в зависимост от характера на дейността на всяка администрация; препоръчително е ежемесечно резервиране;

ж) да се осигури редовно обновяване на носителите, върху които се записват архивни копия (на период около 2/3 от срока им на годност);

з) архивните копия да се съхраняват в друга сграда в огнеупорна каса;

и) (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) достъпът до резервни и архивни копия се извършва под контрола на служителя по мрежова и информационна сигурност.

Приложение № 8 към чл. 37

(Доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.)

Управление на електронните съобщения

1. Управлението на електронните съобщения в администрациите се извършва съгласно Препоръка Х.700 на Международния съюз по телекомуникации (ITU - International Telecommunication Union) и се осъществява чрез:

а) мониторинг на компонентите;

б) контрол (т.е. изработване и реализация на управляващи въздействия);

в) координация на работата на компонентите на системата.

2. Системите за управление трябва:

а) да дават възможност на администраторите да планират, организират, контролират и отчитат използването на процесите, свързани с осигуряване на мрежова и информационна сигурност;

б) да позволяват нагаждане на системата към изменения на изискванията за сигурност;

в) да осигуряват предсказуемо поведение на системата при различни обстоятелства.

3. Управлението на мрежовата сигурност се основава на препоръки Х.800 и Х.805 на Международния съюз по телекомуникации (ITU - International Telecommunication Union).

4. Съгласно препоръките по т. 3 за реализация на функциите на мрежовата сигурност трябва да се използват следните механизми и комбинации от тях:

а) криптиране;

б) цифрови сертификати;

в) механизми за управление на достъпа;

г) механизми за контрол на интегритета на данните, в т.ч. интегритета на потока съобщения;

д) механизми за идентификация;

е) механизми за допълване на трафика;

ж) механизми за управление на маршрутизацията;

з) механизми за отбелязвания и записи на комуникационните характеристики.

5. Защитата на електронните съобщения в интернет включва:

а) защитна стена;

б) защита от вируси и нежелан код;

в) защита от спам;

г) проверка на прикачените файлове за вируси и нежелан код;

д) защита от DoS (denial of service) атаки;

е) защита от HA (harvesting attacks);

ж) защита на е-mail адресите от търсещи роботи;

з) защита от изтичане на информация;

и) защита от шпионски софтуер (spyware);

к) защита на IM (instant messaging);

л) защита на гласовите комуникации (Skype, ICQ, др.);

м) проверка за съответствие с наложените политики в съответната администрация;

н) проверка за съответствие с приетите нормативни документи;

о) контрол върху обмена (изпращане/получаване) на големи файлове в съответствие с приетите политики;

п) приоритизация на входящата и изходящата поща в зависимост от профила на всеки служител;

р) пренасочване на пощата в зависимост от приетите политики;

с) автоматично криптиране на изходящата поща при необходимост в съответствие с приетите политики;

т) автоматично добавяне на текст към входящи/изходящи съобщения в съответствие с приетите политики.

6. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) Получени съобщения, автоматично категоризирани като спам или съдържащи нежелан код, да се записват в специализирани папки и да са достъпни за контрол и обработка от упълномощени лица (служителя по мрежова и информационна сигурност, специалисти от Националния център за действие при инциденти по отношение на мрежовата и информационната сигурност в информационните системи на административните органи и др.).

7. За защитата на "рутинг-инфраструктурата" и "рутинг-протоколите" трябва да се използват Препоръките на Работните групи RPSEC (Routing Protocol Security Requirements) и SIDR (Secure Inter-Domain Routing) на международната организация IETF (Internet Engineering Task Force).

8. За управление на имената и домейните в инфраструктурата в интернет да се използва "система за управление на имената на домейните (DNS)" с модификация на DNS протокола с разширения за идентификация (DNSSEC), която се основава на спецификацията на IETF PFC 4033.

9. За осъществяване на защитен обмен на съобщения по протоколите HTTP, LDAP, FTP и други да се използва Протокол SSL ("Secure Socket Layer") версия 3.0, формулиран от IETF ("Internet Engineering Task Force") или VPN ("Virtual Private Networking") решения за сигурно криптиране на сесиите.

10. За криптиране на XML базирани съобщения на ниво "сесия" да се използва Протокол XMLENC, формулиран от консорциума W3C.

11. За електронно подписване на XML базирани документи да се използва Протокол XAdES (XML Advanced Electronic Signature), формулиран в Препоръка TS 101 903 на ETSI (European Telecommunications Standards Institute) и основан на Препоръка XML DSIG на Работна група "XML-Signature Working Group" на консорциума W3C.

12. За работа с публичните ключове при електронно подписване на XML базирани документи да се използва Протокол XKMS ("XML Key Manipulation Service"), основан на Препоръка XKMS 2.0 на консорциума W3C.

13. Копие от цялата служебна електронна поща на служителя се съхранява на пощенския сървър на съответната администрация не по-малко от две години, след като служителят напусне работа.

14. Служителите в администрациите могат да използват за получаване и изпращане на служебна кореспонденция единствено служебната си електронна поща.

15. Електронни съобщения, изпратени от служители в държавната администрация, съдържат задължително идентифицираща информация за контакт със съответния служител:

а) име;

б) телефон;

в) електронна поща;

г) длъжност;

д) учреждение.

16. В края на всяко изходящо електронно съобщение автоматично да се прикачва изявление за ограничаване на отговорността (disclaimer) и указания към адресата за действия при погрешно получаване.

Приложение № 9 към чл. 41

Защита срещу нежелан софтуер

1. Нежеланият софтуер, който може да експлоатира уязвимостта на един или няколко информационни актива и да предизвика смущаване на нормалната им работа, увреждане или унищожаване, включва следните основни програми:

а) компютърни вируси;

б) мрежови червеи;

в) троянски коне, и

г) логически бомби.

2. Защитата срещу нежелан софтуер в информационните системи на административните органи трябва да бъде ориентирана в две основни направления:

а) чрез забрана за използване на нерегламентиран софтуер;

б) чрез задължително използване на утвърден за цялата администрация антивирусен софтуер и софтуер за откриване на нерегламентирани промени на информационните активи.

3. Администраторът на единната национална мрежа (ЕНМ) трябва да прилага средства за откриване на опити за проникване на различни нива и периметри на мрежата.

4. Програмните продукти, предназначени за откриване на опити за проникване, трябва да разпознават следните подозрителни действия в мрежата:

а) опити да се използват услуги, блокирани от защитни стени;

б) неочаквани заявки, особено от непознати адреси;

в) неочаквани шифровани съобщения;

г) извънредно активен трафик от непознати сървъри и устройства;

д) значителни изменения на предишни действия на мрежата;

е) опити за използване на известни системни грешки или уязвимости;

ж) опити за вход от непознати потребители от неочаквани адреси;

з) несанкционирано или подозрително използване на администраторски функции;

и) значителни изменения в обичайните действия на потребител и пр.

5. При установяване на открити опити за проникване трябва незабавно:

а) да се уведомява системният администратор за предприемане на адекватни мерки;

б) да се изключват или ограничават мрежовите услуги, свързани с информационния актив - обект на проникването.

6. Всяко устройство, което се включва в мрежата на съответната администрация, автоматично да се проверява за вируси и нежелан софтуер, преди да получи достъп до ресурсите на мрежата.

Приложение № 10 към чл. 43, ал. 2

Действия при мониторинг на събитията и инцидентите в информационните системи на администрациите

1. При съхраняването на информация за събития и инциденти, свързани с информационните системи на администрациите, трябва да се създават следните записи:

а) дата и време на настъпване на събитието;

б) уникален идентификатор на ползвателя - инициатор на действието;

в) тип на събитието;

г) резултат от събитието;

д) източник на събитието;

е) списък на засегнатите обекти;

ж) описание на измененията в системата за защита, произтекли от събитието.

2. Ръководителите на администрациите трябва да определят точни процедури за мониторинг на използването на системата, с които да осигурят изпълнението само на регламентирани процеси от страна на ползвателите. Процедурите за мониторинг трябва да осигуряват:

а) реалистична оценка и мерки за управление на риска;

б) проследяване на изключения или ненормално поведение на ползватели за определен период;

в) осигуряване на записи както на успешните, така и на отказаните опити за достъп в системата.

3. За осигуряване на точност и пълнота на записите на логовете, които могат да се използват за разследване на неправомерни действия или за нуждите на ангажиране на съдебни доказателства, ръководителите на ведомствата трябва да осигурят поддържането на единно време в информационните системи съгласно Наредбата за електронните административни услуги, приета с Постановление № 107 на Министерския съвет от 2008 г. (ДВ, бр. 48 от 2008 г.).

Приложение № 11 към чл. 45 ал. 2

Параметри на физическата сигурност

1. За осигуряване физическата защита на информационни системи ръководителите на администрациите предприемат следните мерки:

а) мерки по управление на физическия достъп;

б) противопожарни мерки;

в) защита на поддържащата инфраструктура;

г) защита на мобилните системи.

2. Препоръчва се мерките за физическа защита да включват следните инфраструктурни компоненти:

2.1. Сградите и помещенията, в които се разполагат техническото оборудване, софтуерът и архивите, необходими за информационните системи на административните органи, да отговарят на следните архитектурно-строителни изисквания:

а) помещенията да имат бетонни или тухлени стени;

б) плочите да бъдат стоманобетонни с дебелина 0,15 [m];

в) помещенията да имат специални подвижни отвори, които предпазват от свръхналягане;

г) двойният под да има височина не по-малка от 0,30 [m];

д) окаченият таван да има височина не по-малка от 0,50 [m];

е) климатичните системи за помещенията да позволяват управление от алармени сигнали на пожарогасителна система;

ж) до помещенията да се осигури отделна стая, в която да се разположат действащата и резервната батерии бутилки с пожарогасителния агент.

2.2. Помещенията, в които се разполагат техническото оборудване, софтуерът и архивите, необходими за информационните системи на администрациите, се оборудват със следните технически системи за защита, безопасност и охрана:

а) пожарогасителна система, която трябва да отговаря на изискванията на EN 14520;

б) климатизация;

в) резервно електрозахранване;

г) системи за телевизионно видеонаблюдение;

д) системи за контрол на достъпа.

3. Срещите между посетителите и служителите в администрациите трябва да се извършват в специализирани помещения.

4. В случаите по т. 3 да се води списък на посетителите кога и с кого са се срещали и по какъв въпрос. Списъкът да се съхранява не по-малко от една година от датата на посещението. Списъкът може да се води и само в електронна форма.

5. Служителите, използващи преносими компютри, трябва задължително да използват пароли за достъп до ресурсите на мобилните устройства (дискови устройства, системни платки, софтуер и др.).

Приложение № 12 към чл. 48

(Доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.)

Управление на инциденти, свързани с мрежовата и информационната сигурност (Загл. доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.)

1. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) Планирането на дейността по управление на инциденти, свързани с мрежовата и информационната сигурност, трябва да включва следните етапи:

а) определяне на критично важните функции на системата и установяване на приоритетите за възстановителни работи;

б) идентификация на ресурсите, необходими за изпълнение на критично важните функции;

в) определяне списък на възможните инциденти с вероятности за появяването им, изхождайки от оценките на риска;

г) разработка на стратегии за възстановителни работи;

д) подготовка на мероприятия за реализация на стратегиите.

2. Цикълът на управлението на инциденти трябва да включва следните основни етапи:

а) подготовка;

б) откриване и анализ;

в) ограничаване на влиянието, премахване на причината, възстановяване;

г) дейности след инцидента.

3. Критичен елемент от управлението на инциденти е незабавното възстановяване на дейността на системата.

4. Политиката за защита от инциденти и възстановителни работи на съответната администрация, която произтича от оценката на риска по глава трета, раздел III от наредбата, трябва ясно да идентифицира средствата за резервиране и възстановяване с оглед покриване ниво на резервиране над пето по класацията на Асоциация Share.

5. Средствата по т. 4 могат да бъдат:

а) паралелно записване или огледална репликация на съхраняваните данни (технологии "Disk Mirroring" или "RAID" ("Redundant Array of Independent Drives");

б) създаване на център за възстановяване след инциденти (т.нар. "Disaster Recovery Center"), в който се извършва постоянно архивно съхранение ("back-up") на информацията от системата, така че да може да се възстанови нейната дейност след инцидента;

в) създаване на резервен изчислителен център, в който се поддържа репликирано състояние на критичните оперативно действащи системи, така че дейността им да бъде незабавно поета от него.

6. Планът за действия при инциденти на съответната структура в администрацията трябва да включва мероприятия, които да се проведат след възстановяването и които да целят избягване на подобни инциденти. Това могат да бъдат мерки по:

а) повишаване нивото на контрол на достъпа;

б) промяна на конфигурациите на зоните за сигурност;

в) изменение на режима на физически достъп;

г) инсталиране на допълнителни модули за защита към софтуера на системата;

д) саниране и декласификация на носителите и пр.

Приложение № 13 към чл. 51

(Доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.)

Мерки за постигане сигурност по отношение на персонала

1. (доп. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.) За постигане на мрежова и информационна сигурност по отношение на персонала ръководителите на администрациите са длъжни да предприемат следните мерки за идентификацията на служителите и оправомощаването им да извършват определени действия по отношение на експлоатацията на информационните системи:

а) достъпът на служителите в администрацията до работните им станции и общите информационни системи да се осъществява със служебни потребителско име и парола;

б) достъпът на служителите в държавната администрация до специализираните информационни системи да се осъществява със служебни потребителско име, парола и удостоверение за публичен ключ;

в) осигуряването на права за достъп на различни групи служители и ръководители до ресурсите на информационните системи в съответната администрация да се извършва на базата на утвърдените профили съгласно чл. 52 от наредбата;

г) за всеки служител в администрацията да бъде определена принадлежност към профил, съответстващ на служебните му задължения, вписани в длъжностната му характеристика;

д) служителите в администрацията да имат право на достъп само до тези ресурси на информационните системи в администрацията, в която работят, или до системите на други администрации само доколкото са им необходими за изпълнение на служебните задължения съгласно длъжностната им характеристика;

е) всяка година да се провеждат опреснителни курсове по мрежова и информационна сигурност, през които да преминават всички служители в администрацията;

ж) всички служители в администрацията да преминат обучение за действия при инциденти с мрежовата и информационна сигурност.

2. Приложението за проверка на удостоверения за публични ключове (вкл. електронни подписи) трябва да използва процедурата за проверка чрез Certificate Revocation Lists (CRL), базиран на спецификацията RFC 3280 на IETF (Internet Engineering Task Force) или по Протокол OCSP (Online Certificate Status Protocol), основан на спецификацията RFC 2560 на IETF.

Приложение № 14 към чл. 102, ал. 2

(Ново - ДВ, бр. 48 от 2013 г., отм. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.)

Приложение № 15 към чл. 103, ал. 2

(Ново - ДВ, бр. 48 от 2013 г., отм. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.)

Приложение № 16 към чл. 104, ал. 2

(Ново - ДВ, бр. 48 от 2013 г., отм. - ДВ, бр. 5 от 2017 г., в сила от 01.03.2017 г.)