ЗАКОН ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА ЗАКОНА ЗА ЗАЩИТА НА КЛАСИФИЦИРАНАТА ИНФОРМАЦИЯ (ДВ, БР. 45 ОТ 2002 Г.)
ЗАКОН ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА ЗАКОНА ЗА ЗАЩИТА НА КЛАСИФИЦИРАНАТА ИНФОРМАЦИЯ (ДВ, БР. 45 ОТ 2002 Г.)
Обн. ДВ. бр.88 от 23 Октомври 2018г.
Проект: 802-01-32/27.08.2018 г.
§ 1. В чл. 9 т. 16 се изменя така:
"16. осъществява общ контрол по защита на класифицираната информация, създавана, съхранявана, обработвана и пренасяна в комуникационни и информационни системи;".
§ 2. В чл. 12, т. 3 думите "автоматизираните информационни системи или мрежи за създаване, съхраняване, обработка и пренос на класифицирана информация" се заменят с "комуникационните и информационните системи, включително до свързаните към тях информационни системи".
§ 3. В чл. 14 се правят следните изменения:
1. В т. 2 думите "автоматизираните информационни системи или мрежи, използвани за работа с класифицирана информация" се заменят с "комуникационните и информационните системи".
2. В т. 3 думите "дейността по защита от паразитни електромагнитни излъчвания на техническите средства, обработващи, съхраняващи и пренасящи класифицирана информация" се заменят с "контрамерките по TEMPEST".
§ 4. В глава шеста в наименованието на раздел V думите "автоматизираните информационни системи или мрежи" се заменят с "комуникационните и информационните системи".
§ 5. В чл. 89 думите "автоматизираните информационни системи (АИС) или мрежи" се заменят с "комуникационните и информационните системи (КИС)" и думите "АИС или мрежи" се заменят с "КИС".
§ 6. Член 90 се изменя така:
"Чл. 90. (1) Задължителните общи условия за сигурност на КИС обхващат компютърната, комуникационната, криптографската, физическата, документалната и персоналната сигурност, сигурността при свързване на КИС, сигурността на самата информация на всякакъв електронен носител и контрамерките по TEMPEST, определени в наредба, приета от Министерския съвет по предложение на председателя на Държавна агенция "Национална сигурност".
(2) За всяка КИС се извършва анализ на риска за сигурността съгласно изискванията по наредбата по ал. 1.
(3) Задължителните специфични изисквания и процедури за сигурност на КИС във всяка организационна единица се определят от ръководителя на организационната единица по предложение на служителя по сигурността на информацията. Тези изисквания и процедури подлежат на утвърждаване от Държавна агенция "Национална сигурност".
(4) Изискванията и процедурите по ал. 3 включват подробно описание на мерките и правилата за сигурност, които се прилагат при проектиране и експлоатация на конкретната КИС.
(5) Изискванията и процедурите по ал. 3 се изготвят при условията и по реда, определени в наредбата по ал. 1.
(6) Всички последващи промени в специфичните изисквания и процедурите за сигурност по ал. 3 подлежат на утвърждаване от Държавна агенция "Национална сигурност" при условията и по реда, определени в наредбата по ал. 1."
§ 7. Член 91 се изменя така:
"Чл. 91. (1) Преди въвеждане в експлоатация за работа с класифицирана информация за всяка КИС се провежда процедура по акредитиране при условията и по реда, определени с наредбата по чл. 90, ал. 1.
(2) Не се допуска създаване, обработване, съхраняване и пренасяне на класифицирана информация в КИС без наличието на издаден сертификат по чл. 14, т. 2."
§ 8. Член 92 се изменя така:
"Чл. 92. Ръководителят на организационната единица, в която се използват КИС, по предложение на служителя по сигурността на информацията назначава служители или възлага на назначени служители функции по контрола за спазване на изискванията за сигурност на тези КИС при условията и по реда, определени с наредбата по чл. 90, ал. 1."
§ 9. Член 93 се изменя така:
"Чл. 93. (1) Държавна агенция "Национална сигурност" отнема издадения сертификат по чл. 14, т. 2 по писмено предложение на органа по прекия контрол по защита на класифицираната информация при констатирани системни нарушения на изискванията за сигурност на класифицираната информация, създавана, обработвана, съхранявана и пренасяна в КИС.
(2) Държавна агенция "Национална сигурност" прекратява действието на издадения сертификат по чл. 14, т. 2:
1. с изтичането на срока на действие на издадения сертификат за сигурност на КИС;
2. при премахване или промяна на нивото на класификация на информацията, която се създава, обработва, съхранява и пренася в КИС;
3. при прекратяване на експлоатацията на КИС;
4. при закриване на организационната единица без правоприемник.
(3) Отнемането и прекратяването на издаден сертификат по чл. 14, т. 2 може да се обжалва пред ДКСИ при условията, по реда и в срока по глава пета, раздел V и не подлежи на обжалване по съдебен ред."
§ 10. Член 94 се изменя така:
"Чл. 94. (1) Допуска се междусистемна връзка на КИС, предназначени за класифицирана информация до ниво "Секретно" включително, с други КИС за класифицирана информация със същото или различно ниво на класификация, както и към информационни системи от затворен тип при условията, посочени в наредбата по чл. 90, ал. 1.
(2) Допуска се междусистемна връзка на КИС, предназначени за класифицирана информация с ниво "За служебно ползване", към интернет или други публични мрежи при условията, посочени в наредбата по чл. 90, ал. 1.
(3) Не се допуска междусистемна връзка на КИС, предназначени за класифицирана информация с ниво "Поверително" и "Секретно", с КИС, предназначени за класифицирана информация с ниво "За служебно ползване", които са свързани към интернет или други публични мрежи.
(4) Не се допуска междусистемна връзка на КИС, предназначени за класифицирана информация с ниво "Строго секретно"."
§ 11. Член 94а се изменя така:
"Чл. 94а. Междусистемната връзка е разрешена само когато:
1. в КИС са приложени механизми за защита на границата, одобрени от Държавна агенция "Национална сигурност", при условията и по реда, определени с наредбата по чл. 90, ал. 1;
2. комуникационните и информационните системи притежават издаден валиден сертификат по чл. 14, т. 2."
§ 12. Членове 94б и 94в се отменят.
§ 13. В чл. 125 думите "чл. 90, ал. 2" се заменят с "чл. 90, ал. 3".
§ 14. В чл. 127 думите "чл. 93" се заменят с "чл. 91, ал. 2 и чл. 94".
§ 15. В § 1 от допълнителните разпоредби се създават т. 19 - 26:
"19. "Комуникационна и информационна система (КИС)" е съвкупност от технически (включително комуникационни средства, устройства за защита на границата, криптографски средства и среда за разпространение на сигнала в границите на системата) и програмни средства, методи, процедури и персонал, организирани за осъществяване на една или няколко от функциите по създаване, обработване, ползване, съхраняване и обмен на класифицирана информация в електронна форма. Комуникационната и информационната система може да е изградена и на основата на една или повече отделни работни станции, несвързани в мрежа.
20. "Информационна система от затворен тип" е система с приложени мерки за защита, без достъп до публични мрежи, предназначена за работа с информация, която не е класифицирана.
21. "Междусистемна връзка" е връзка между две или повече КИС, както и връзка на КИС към други информационни системи за работа с информация, която не представлява класифицирана информация за целите на обмена на данни и други информационни ресурси по еднопосочен или многопосочен път. Връзката между КИС и система, предлагаща единствено комуникационна инфраструктура за пренасяне на класифицирана информация, защитена чрез криптографски средства, одобрени по реда на наредбата по чл. 85, не се счита за междусистемна връзка.
22. "Граница на КИС" е физически или логически периметър, който определя границите на защита на КИС.
23. "Механизъм за защита на границата" е съвкупност от компоненти (програмни или технически средства), служещи за контрол, наблюдение и филтриране с цел предотвратяване на нерегламентиран достъп до класифицираната информация и информационните ресурси в КИС при междусистемна връзка.
24. "Компрометиращи електромагнитни излъчвания" са непреднамерено излъчени електромагнитни сигнали, свързани с работата на технически средства за създаване, обработване, съхраняване и пренасяне на класифицирана информация, чието прихващане и анализ могат да доведат до нерегламентиран достъп до нея.
25. "TEMPEST" е изследване, изучаване и контрол на компрометиращите електромагнитни излъчвания и контрамерките за тяхното потискане и ограничаване.
26. "Контрамерки по TEMPEST" са мерки за сигурност, имащи за цел защита от нерегламентиран достъп до класифицирана информация чрез компрометиращи електромагнитни излъчвания."
§ 16. В приложение № 1 към чл. 25 в раздел II "Информация, свързана с външната политика и вътрешната сигурност на страната" т. 14 се изменя така:
"14. Сведения за организационно-техническата и програмната защита на комуникационните и информационните системи на органите на държавна власт и местно самоуправление и техните администрации, както и на други техни системи за обработване на информация."
Преходни и Заключителни разпоредби
§ 17. (1) Актовете по прилагането на закона се издават или привеждат в съответствие с този закон в 6-месечен срок от влизането му в сила.
(2) Издадените до приемането на актовете по ал. 1 подзаконови нормативни актове се прилагат, доколкото не противоречат на този закон.
§ 18. В Закона за Държавна агенция "Национална сигурност" (обн., ДВ, бр. 109 от 2007 г.; изм., бр. 69 и 94 от 2008 г., бр. 22, 35, 42, 82 и 93 от 2009 г., бр. 16, 80 и 97 от 2010 г., бр. 9 и 100 от 2011 г., бр. 38 от 2012 г., бр. 15, 30, 52, 65 и 71 от 2013 г., бр. 53 от 2014 г., бр. 14, 24 и 61 от 2015 г., бр. 15, 101, 103 и 105 от 2016 г., бр. 103 от 2017 г. и бр. 7, 27, 55 и 56 от 2018 г.) се правят следните изменения:
1. В чл. 6, ал. 5 думите "автоматизираните информационни системи или мрежи" се заменят с "комуникационните и информационните системи".
2. В чл. 42, ал. 1 т. 2 се изменя така:
"2. извършва акредитиране на комуникационните и информационните системи, в които се създава, обработва, съхранява и пренася класифицирана информация; координира и контролира контрамерките по TEMPEST;".
§ 19. В Закона за военното разузнаване (обн., ДВ, бр. 88 от 2015 г.; изм., бр. 98 от 2016 г. и бр. 103 от 2017 г.) в чл. 71, ал. 4 думите "автоматизираните информационни системи или мрежи (АИС или мрежи)" се заменят с "комуникационните и информационните системи (КИС)" и думите "АИС или мрежи" се заменят с "КИС".
§ 20. В Закона за електронното управление (обн., ДВ, бр. 46 от 2007 г.; изм., бр. 82 от 2009 г., бр. 20 от 2013 г., бр. 40 от 2014 г. и бр. 13, 38, 50, 62 и 98 от 2016 г.) в чл. 1, ал. 3 думите "автоматизирани информационни системи или мрежи" се заменят с "комуникационни и информационни системи".
-------------------------
Законът е приет от 44-то Народно събрание на 10 октомври 2018 г. и е подпечатан с официалния печат на Народното събрание.
