Постановление № 99 от 10 май 2003 г. за приемане на Наредба за задължителните общи условия за сигурност на автоматизираните информационни системи или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация

ПОСТАНОВЛЕНИЕ № 99 ОТ 10 МАЙ 2003 Г. за приемане на Наредба за задължителните общи условия за сигурност на автоматизираните информационни системи или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация

МИНИСТЕРСКИЯТ СЪВЕТ ПОСТАНОВИ: Член единствен. Приема Наредба за задължителните общи условия за сигурност на автоматизираните информационни системи или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация.

Министър-председател: Симеон Сакскобургготски

Главен секретар на Министерския съвет: Севдалин Мавров

НАРЕДБА за задължителните общи условия за сигурност на автоматизираните информационни системи или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация

Глава   първа

ОБЩИ ПОЛОЖЕНИЯ Чл. 1. (1) С наредбата се определят задължителните общи условия за сигурност на автоматизираните информационни системи (АИС) или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация, наричани по-нататък „АИС или мрежи".

(2) Задължителните общи условия по ал. 1 включват: 1. органите по сигурността на АИС или мрежи; 2. условията и реда за извършване на комплексна оценка на сигурността и издаване на сертификати за АИС или мрежи, наричани по-нататък „акредитиране"; 3. задължителните общи изисквания за сигурност на АИС или мрежи в областта на: а) физическата сигурност; б) персоналната сигурност; в) документалната сигурност; г) комуникационната сигурност; д) криптографската сигурност; е) защитата от паразитни електромагнитни излъчвания; ж) компютърната сигурност.

ОРГАНИ ПО СИГУРНОСТТА НА АИС ИЛИ МРЕЖИ

Раздел I

Държавна комисия по сигурността на информацията Чл. 2. Държавната комисия по сигурността на информацията (ДКСИ) осъществява общ контрол: Раздел II

Орган по акредитиране на сигурността на АИС или мрежи Чл.3. (1) Орган по акредитиране на сигурността на АИС или мрежи (ОАС) по смисъла на наредбата е дирекция „Защита на средствата за връзка" (ДЗСВ) на Министерството на вътрешните работи.

(2) Органът по акредитиране на сигурността: 1. дава препоръки и указания по сигурността на АИС или мрежи; 2. препоръчва стандарти и средства, които могат да се използват в АИС или мрежи за защита на класифицирана информация; 3. утвърждава документите по сигурността на АИС или мрежи; 4. извършва комплексна оценка на сигурността на АИС или мрежи; 5. издава сертификати за сигурност на АИС или мрежи; 6. определя условията, при които следва да се извърши допълнително и ново акредитиране на АИС или мрежи; 7. координира и контролира дейността по защита от паразитни електромагнитни излъчвания на техническите средства, обработващи, съхраняващи и пренасящи класифицирана информация; 8. провежда обучение на служители по сигурността на АИС или мрежи; 9. води регистър на сертифицираните АИС или мрежи.

Раздел III

Служител по сигурността на АИС или мрежи Чл. 4. (1) Ръководителят на организационната единица, в която се експлоатират или се предвижда изграждането на АИС или мрежи за обработка на класифицирана информация, по предложение на служителя по сигурността на информацията назначава в административното звено по сигурността служител по сигурността на АИС или мрежи или възлага на назначени служители от същото звено функции по чл. 5.

(2) Служителят по сигурността на АИС или мрежи трябва да има разрешение за достъп до най-високото ниво на класифицирана информация в АИС или мрежи в организационната единица.

Чл. 5. Служителят по сигурността на АИС или мрежи: 1. е отговорен за установяването на политиката за сигурност на АИС или мрежи в организационната единица; 2. определя изискванията за сигурност към АИС или мрежи, произтичащи от общата политика за сигурност на организационната единица; 3. координира изготвянето на специфичните изисквания за сигурност на АИС или мрежи, процедурите за сигурност и на изработените на тяхна основа експлоатационни документи по сигурността; 4. координира обучението по сигурността на АИС или мрежи; 5. осъществява контрол за спазване на изискванията за сигурност в АИС или мрежи; 6. разследва обстоятелствата, свързани с компрометиране сигурността на АИС или мрежи, и докладва за резултатите на служителя по сигурността на информацията в организационната единица, който уведомява ОАС.

Раздел IV

Орган по развитие и експлоатация на АИС или мрежи (ОРЕ) Чл. 6. (1) Органът по развитие и експлоатация в организационната единица: 1. участва в определянето на политиката за сигурност на АИС или мрежи в организационната единица; 2. изготвя документите по сигурността на АИС или мрежата; 3. осигурява изпълнението на изискванията за акредитиране на АИС или мрежи и прави заявки за допълнително акредитиране на АИС или мрежата, когато това е необходимо; 4. участва в определянето на мерките за сигурност и границите на отговорност при осъществяване на връзки с други АИС или мрежи; 5. прави предложение за възлагане функции на администратор по сигурността на АИС или мрежата и осигурява подготовката му; 6. организира и провежда обучение по сигурността в АИС или мрежи на служителите в ОРЕ и на потребителите на АИС или мрежата; 7. прилага одобрените мерки за сигурност в АИС или мрежата; 8. прави преглед на свързаната със сигурността документация периодично или при предложени промени в техническото или програмното осигуряване, връзките с други АИС или мрежи, режима за сигурност, нивото на класификация на информацията или при други дейности, които могат да повлияят на сигурността на АИС или мрежата, като за резултатите информира служителя по сигурността на АИС или мрежи; 9. участва заедно със служителя по сигурността на АИС или мрежи в установяването на обстоятелствата, свързани с компрометиране сигурността на АИС или мрежи.

Раздел V

Администратор по сигурността на АИС или мрежа Чл. 7. Със заповед на ръководителя на организационната единица по предложение на ОРЕ съгласувано със служителя по сигурността на информацията се възлагат функции на администратор по сигурността на АИС или мрежата.

Чл. 8. (1) Администраторът по сигурността на АИС или мрежата е от състава на ОРЕ или от друго звено в организационната единица, имаща отношение към АИС или мрежата.

(2) При необходимост могат да се определят повече от един администратор по сигурността на АИС или мрежата, отговарящи за обособени нейни части, като един от тях се определя за администратор по сигурността на цялата АИС или мрежа.

Чл. 9. (1) Администраторът по сигурността на АИС или мрежата: 1. участва в изготвянето и актуализирането на процедурите по сигурността на АИС или мрежата; 2. изготвя експлоатационни документи по сигурността на АИС или мрежата за обслужващия персонал и потребителите на базата на утвърдените процедури за сигурност; 3. изпълнява възложените му процедури за сигурност в АИС или мрежата; 4.периодично информира обслужващия персонал и потребителите по въпросите на сигурността на АИС или мрежата; а) следи за спазването на мерките и процедурите за сигурност в зоните за сигурност на АИС или мрежата; б) следи за спазването на мерките и процедурите за сигурност при инсталирането, конфигурирането, поддръжката и промените в АИС или мрежата; в) следи за правилното функциониране на механизмите за сигурност; г) управлява, наблюдава и анализира свързаните със сигурността одитни записи на системата и при констатиране или при съмнения за компрометиране на сигурността докладва на ОРЕ и на служителя по сигурността на АИС или мрежи; д) осигурява резервиране и съхраняване на одитните записи в определените срокове; (2) функциите по ал. 1 могат да бъдат разпределени между няколко специално определени администратори по сигурността на АИС или мрежата.

Раздел VI

Потребители в АИС или мрежи Чл. 10.Потребител в АИС или мрежа е лице: 1. което има издадено разрешение за достъп до най-високото ниво на класификация за сигурност на информацията, с която има право да работи в АИС или мрежата; 2. което е преминало обучение в областта на сигурността на АИС или мрежа; 3. на което са предоставени права за достъп до ресурсите на АИС или мрежа.

Чл. 11. (1) Потребителите в АИС или мрежа изпълняват задълженията, посочени в експлоатационните документи по сигурността на АИС или мрежа.

Глава   трета

АКРЕДИТИРАНЕ НА АИС ИЛИ МРЕЖИ

Раздел I

Условия и ред за акредитиране Чл. 12. Процедурата по акредитиране започва от етапа на проектиране на системата. В периода на акредитирането ОРЕ взаимодейства с ОАС за уточняване на изискванията за сигурност към изгражданата АИС или мрежа.

Чл. 13. (1) В етапа на проектиране на АИС или мрежа организационната единица, наричана по-нататък „заявителя", подава до ОАС заявление за започване на процедура по акредитиране.

(2)  Заявлението по ал. 1 се изготвя от ОРЕ и се съгласува със служителя по сигурността на информацията.

(3)  В заявлението по ал. 1 се посочват: 1. общи сведения за АИС или мрежата, които включват: а) форма на представяне и ниво на класификация на информацията; б) очакван брой и типове потребители и съответните специфични за системата нива на достъп; в) средата, в която ще се експлоатира АИС или мрежата; 2. връзки с други АИС или мрежи; 3. ръководителят на ОРЕ и администраторът по сигурността на АИС или мрежи; 4. етапите и сроковете за изграждане на АИС или мрежата.

Чл. 14. (1) В срок до 15 работни дни ОАС взема решение за откриване на процедура по акредитиране и уведомява писмено заявителя.

(2) В уведомлението по ал. 1 се посочват условията и етапите за акредитиране.

Чл. 15. В съответствие с етапите за акредитиране по чл. 14, ал. 2 за извършване на комплексна оценка на АИС или мрежата преди въвеждането й в експлоатация заявителят изпраща до ОАС: 1. документите по сигурността съгласно чл. 29, ал. 1; 2. документи, удостоверяващи изпълнението на отделни мерки за сигурност; 3. сертификати за сигурност на отделни средства и подсистеми, ако има такива; 4. решението за въвеждане в експлоатация на криптографски средства, ако такива се използват в АИС или мрежата; 5. информация за участниците в разработката и изпълнението на проекта.

Чл. 16. (1) Органът по акредитиране на сигурността извършва комплексна оценка, като: 1. проверява представените документи по чл. 15; 2. проверява изпълнението на предвидените мерки за сигурност; 3. на основание чл. 90, ал. 2 от Закона за защита на класифицираната информация (ЗЗКИ) ОАС утвърждава документите по чл. 29, ал. 1, т.2 и 3.

Чл. 17. В случай на установени несъответствия при проверките по чл. 16, ал. 1, т. 1 и 2 ОАС изисква от заявителя да ги отстрани.

Чл. 18. (1) При положителна комплексна оценка ОАС издава сертификат за сигурност на АИС или мрежата по чл. 14, т. 2 ЗЗКИ съгласно приложението.

(2) Сертификатът по ал. 1 може да се издава и за обособени подсистеми на АИС или мрежи по реда на тази глава.

Чл. 19. Сертификатът съдържа: Чл. 20. (1) За резултатите от оценката по чл. 16 ОАС изготвя сертификационен отчет, който е неразделна част на сертификата.

(2) Сертификационният отчет съдържа: 1. общо описание на АИС или мрежата; 2. заключения от комплексната оценка; 3. опис на документите за сигурност, представени при акредитирането; 4. видовете изменения на АИС или мрежата, които изискват извършване на допълнително и ново акредитиране.

(3) Сертификационният отчет по ал. 2 се класифицира с ниво на класификация, еднакво с най-високото ниво на класификация на информацията в АИС или мрежата.

Чл. 21. (1) В случай че за изпълнението на важни за държавата задачи е необходимо АИС или мрежа да бъде въведена в експлоатация, преди да бъде завършен процесът на акредитиране и издаване на сертификат, ОАС може да издаде сертификат за сигурност на АИС или мрежата за определен период.

(2) Сертификатът по ал. 1 се издава след съгласуване с ДКСИ.

(3) Сертификатът по ал. 1 съдържа: Чл. 22. (1) Когато АИС или мрежата обхваща повече от една организационна единица, между тях се сключва споразумение, определящо коя организационна единица е организатор на АИС или мрежата и разпределението на отговорностите по сигурността за съставните части на АИС или мрежата.

Чл. 23. (1) За всяка акредитирана АИС или мрежа ОАС поддържа акредитационно дело, което съдържа: 1. преписката по акредитирането и допълнителните акредитирания; 2. вторите екземпляри на сертификата и сертификационния отчет по чл. 20; 3. отчетите за допълнителните акредитирания по чл. 28, ал. 1, т. 3.

(2) Документите по сигурността се съхраняват в организационната единица.

Чл. 24. (1) Органът по акредитиране на сигурността води регистър на сертифицираните АИС или мрежи. За всяка сертифицирана АИС или мрежа в регистъра се вписват: 1. данните от сертификата; 2. регистрационните номера на заявленията по чл. 13 и 25; (2) Данни от регистъра се предоставят в срок до 15 работни дни по писмено искане на ДКСИ, Национална служба „Сигурност" на Министерството на вътрешните работи или служба „Сигурност-военна полиция и военно контраразузнаване" към министъра на отбраната с цел изпълнение на правомощията им по осъществяване на контрол по защита на класифицираната информация.

Раздел II

Условия и ред за допълнително акредитиране Чл. 25. (1) При необходимост от промени по чл. 20, ал. 2, т. 4 в АИС или мрежата съответната организационна единица подава до ОАС заявление за допълнително акредитиране.

(2) Заявлението по ал. 1 се изготвя от ОРЕ и се съгласува със служителя по сигурността на информацията.

(3) В заявлението по ал. 1 се посочват: 1. общо описание на промените, които налагат допълнителното акредитиране; 2. очаквано влияние на промените върху сигурността на АИС или мрежата; 3. етапите и сроковете за извършване на промените.

Чл.26. (1) В срок до 15 работни дни ОАС взема решение за откриване на процедура за допълнително акредитиране и уведомява писмено заявителя.

(2) В уведомлението по ал. 1 се посочват условията и етапите за допълнително акредитиране.

Чл. 27. В съответствие с етапите за допълнително акредитиране за извършване на оценка на промените и влиянието им върху сигурността на АИС или мрежата заявителят представя на ОАС: 1. измененията в специфичните изисквания за сигурност и процедурите за сигурност на АИС или мрежата; 2. сертификати за сигурност на отделни средства и подсистеми, свързани с промените, ако има такива; 3. при поискване-документи по сигурността, утвърдени от ОАС.

Чл. 28. (1) Органът по акредитиране на сигурността: 1. утвърждава промените в специфичните изисквания за сигурност и процедурите за сигурност; (2) Отчетът по ал. 1, т. 3 съдържа: 1. общо описание на промените; 2. основни изводи от оценката на сигурността и проверката на изпълнението на мерките за сигурност в АИС или мрежата; 3. изменения в условията за допълнително акредитиране, ако има такива.

Глава  четвърта

ДОКУМЕНТИ ПО СИГУРНОСТТА, НЕОБХОДИМИ ЗА АКРЕДИТИРАНЕ

Раздел I

Видове документи Чл.29. (1) Задължителните документи по сигурността, необходими за извършване на акредитирането, са: 3.процедурите за сигурност, изготвени на основата на СИС.

Раздел II

Анализ на риска Чл. 30. Анализът на риска за сигурността на АИС или мрежата е процес, при който се установяват заплахите и уязвимите места на АИС или мрежата, вероятността за осъществяване на заплахите при конкретните ресурси и работна среда и се оценяват последствията при тяхното реализиране.

Чл. 31. Анализът на риска цели: 1. определяне на необходимите мерки за сигурност; 2. ефективно комбиниране на видовете мерки за сигурност; 3. правилна оценка на остатъчния риск.

Чл. 32. Анализът на риска се извършва периодично с оглед отчитането на: 1. новопоявили се уязвимости и/или заплахи към АИС или мрежата; 2. промени в ресурсите на АИС или мрежата и/или в нивото на класификация за сигурност на информацията.

Чл. 33. (1) За анализ на риска и определяне на адекватни мерки за противодействие в организационната единица се сформира екип от специалисти по физическа, персонална, документална, компютърна, комуникационна и криптографска сигурност и по защита от електромагнитни излъчвания.

Чл. 34. (1) Възможните резултати от анализа на всеки конкретен риск са: 1. елиминиране на риска — целта е цялостно елиминиране на реална или потенциална уязвимост на АИС или мрежата чрез пълно прилагане на мерки за сигурност; 2. предотвратяване загубата на физически и информационни ресурси — целта е прилагане на мерки за предотвратяване на загубите, доколкото това е възможно, отчитайки, че някои рискове не могат да бъдат елиминирани поради технологични или други причини; 3. ограничаване загубата на физически и информационни ресурси — целта е прилагане на мерки за сигурност, ограничаващи загубите до приемливо ниво; 4. приемане на риска от загуба на физически и информационни ресурси — когато загубата не е голяма, вероятността за загуба е малка или цената на необходимите мерки за предотвратяване на загубите е много голяма.

(2) Резултатите от анализа на риска се оформят в документа по чл. 38, т. 2.

Чл. 35. За условия на експлоатация на АИС или мрежа, които не са свързани с конкретна глобална среда за сигурност (например мобилни, полеви и други условия), при анализа на риска се оценяват и рисковете, свързани със средата, в която АИС или мрежата ще бъде ползвана.

Раздел III

Специфични изисквания за сигурност Чл. 36. (1) За всяка АИС или мрежа, в която се създава, обработва, съхранява и пренася класифицирана информация, се изготвят специфични изисквания за сигурност (СИС) съгласно чл. 90, ал. 2 ЗЗКИ.

Чл. 37. В отделните етапи на разработка и експлоатация на АИС или мрежата СИС изпълняват различни функции: 1. в етапа на планиране СИС представляват схематично описание на глобалната и локалната среда за сигурност, в които ще се експлоатира системата, с постепенна детайлизация на изискванията за сигурност; Чл. 38. Специфичните изисквания за сигурност в завършен вид съдържат: а) контрола на достъпа, включително физическия, и определяне автентичността на потребителите; б) отчетността на действията на отделните потребители и възможностите за проверка на валидността на тези действия; в) предотвратяване на възможността за нерегламентиран достъп до информация, включително при повторно използване обектите на системата; г) съхраняване интегритета на информацията; д) осигуряване достъпност на информацията; е) пренасянето на информацията; ж) други специфични рискове; Чл. 39. При необходимост от по-детайлно разработване на отделни аспекти на сигурността по чл. 1, ал. 2, т. 3, букви „г" — „ж" ОАС може да изисква допълнителни СИС за тези аспекти.

Раздел IV

Процедури за сигурност на АИС или мрежи Чл. 40. (1) Процедурите за сигурност са подробно описание на реда и отговорностите за изпълнение на дейностите при прилагането на утвърдените мерки за сигурност на АИС или мрежата.

(2) Процедурите за сигурност са правилата за сигурност по чл. 90, ал. 3 ЗЗКИ.

Чл. 41. Процедурите за сигурност съдържат следните раздели: 6.комуникационна сигурност; 9. управление на конфигурацията; 10. отговорности и задължения на потребителите.

Глава  пета

ОБЩИ ИЗИСКВАНИЯ ЗА СИГУРНОСТ НА АИС ИЛИ МРЕЖИ

Раздел I

Сигурност на АИС или мрежи Чл. 42. (1) Сигурността на АИС или мрежа, в която се създава, обработва, съхранява или пренася класифицирана информация, включва прилагане на балансирана система от мерки за сигурност в областите по чл. 1, ал. 2, т. 3.

(2) С прилагането на системата от мерки за сигурност се цели осигуряване на конфиденциалност, интегритет и достъпност на информацията, създавана, обработвана, съхранявана или пренасяна в АИС или мрежата.

Раздел II

Физическа сигурност Чл. 43. (1) Зоните, в които са разположени ресурсите на АИС или мрежата, където се създава, обработва, съхранява или пренася класифицирана информация или в които е възможен достъп до такава информация, се определят като зони за сигурност съгласно наредбата по чл. 78 ЗЗКИ.

(2) Зоните по ал. 1 се защитават със съответни на най-високото ниво на класификация на информацията мерки, способи и средства за физическа сигурност, определени в наредбата по чл. 78 ЗЗКИ, с цел недопускане на нерегламентиран достъп.

Чл. 44. (1) В рамките на зоните за сигурност по чл. 43, ал. 1 се определят места за: компютърно и комуникационно оборудване; въвеждане и извеждане на документи във и от системата; център за управление на АИС или мрежата; работа с криптографски средства и ключове; библиотеки за компютърни носители на класифицирана информация и др.

(2) За критичните от гледна точка на сигурността места по ал. 1 се вземат допълнителни мерки за защита, като: 1. контрол на достъпа, включително с технически средства; 2. системи за наблюдение; 3. недопускане присъствието само на един служител в тях.

Чл. 45. За условия на експлоатация на АИС или мрежа, които не са свързани с конкретна глобална среда за сигурност (например мобилни, полеви и други условия), се изготвят специфични изисквания за физическа сигурност.

Раздел III

Персонална сигурност Чл. 46. (1) Потребителите на АИС или мрежата трябва да имат разрешение за достъп до най-високото ниво на класификация за сигурност на информацията, с която имат право да работят в АИС или мрежата.

(2) Системният персонал на АИС или мрежата, както и лицата, участващи в проектирането и изграждането на системата за сигурност на АИС или мрежата, трябва да имат разрешение за достъп до най-високото ниво на класификация на информацията в АИС или мрежата.

Чл. 47. (1) Системният персонал и потребителите на АИС или мрежата преминават обучение по сигурността на АИС или мрежата.

Чл. 48. Правомощията на персонала, работещ в АИС или мрежа, се определят така, че да не се допуска възможността едно лице да познава или контролира изцяло важните елементи от сигурността на АИС или мрежата.

Раздел IV

Документална сигурност Чл. 49. (1) Всички документи, съдържащи класифицирана информация, които се създават, обработват, съхраняват и/или пренасят в АИС или мрежи, се идентифицират, маркират и контролират по подходящи начини.

Чл. 50. Извеждането на документи, съдържащи класифицирана информация, от сертифицирани АИС или мрежи се извършва: 1. в съответствие с изискванията на чл. 137 ППЗЗКИ; 2. в зоните за сигурност по чл. 43, ал. 1.

Чл. 51. Пренос на документи, съдържащи класифицирана информация, от една АИС или мрежа към друга се извършва само ако получателят е АИС или мрежа, сертифицирана за ниво на класификация на информацията, същото или по-високо от нивото на класификация на пренасяните документи.

Чл. 52. (1) Материалните носители на класифицирана информация, използвани в АИС или мрежи, се маркират, регистрират се в регистратурата по чл. 51, ал. 1 ППЗЗКИ и се съхраняват по начин, съответстващ на грифа за сигурност на носителя.

(2) Регистрирането, маркирането, контролът и унищожаването на материалните носители за многократен запис на класифицирана информация се извършват по реда на глава пета, раздел XII от ППЗЗКИ.

Чл. 53. Съхраняването и периодичният контрол на носителите по чл. 52, ал. 2 се извършват в съответствие с утвърдените процедури за сигурност на АИС или мрежата.

Чл.54. (1) Информацията и материалите, осигуряващи достъп до ресурсите на АИС или мрежата, се защитават с мерки, съответни на мерките за най-високото ниво на класификация на информацията, за която дават достъп.

(2) Информацията и материалите по ал. 1, които вече не се използват за осигуряване на достъп до ресурсите на АИС или мрежата, се унищожават в съответствие с правилата в експлоатационната документация по сигурността и по начин, недопускащ възстановяване на информацията.

Чл. 55. (1) Преносими компютърни устройства, използвани за създаване, обработване и съхраняване на класифицирана информация, се разглеждат като носители на такава информация.

(2) Пренасянето на устройствата по ал. 1 извън зоните за сигурност се извършва по реда на ППЗЗКИ.

Раздел V

Комуникационна и криптографска сигурност, защита от паразитни електромагнитни излъчвания Чл. 56. (1) Комуникационната сигурност представлява система от мерки за сигурност, прилагани с цел защита на класифицираната информация от нерегламентиран достъп при нейното пренасяне по комуникационни системи.

(2) Системата от мерки по ал. 1 включва защита с криптографски методи и средства, защита от излъчвания и защита при пренасяне на информацията.

Чл. 57. Комуникационните системи за пренос на класифицирана информация трябва да осигуряват механизми за: Чл. 58. В АИС или мрежи се прилагат само криптографски средства, одобрени по реда на наредбата по чл. 85 ЗЗКИ.

Чл. 59. (1) Класифицирана информация се пренася по комуникационни системи извън зоните за сигурност на АИС или мрежи, когато е защитена с криптографски средства.

(2) форма на информация, получена чрез обработка на класифицирана информация с одобрени криптографски средства, не представлява класифицирана информация по смисъла на ЗЗКИ.

Чл. 60. (1) Автоматизираните информационни системи или мрежи, в които се създава, обработва, съхранява и/или пренася класифицирана информация с ниво на класификация „Поверително" и по-високо, трябва да са осигурени срещу паразитни електромагнитни излъчвания, които могат да доведат до нерегламентиран достъп до информацията.

(2) Мерките за защита от електромагнитни излъчвания съответстват на най-високото ниво на класификация на информацията в АИС или мрежата.

Раздел VI

Минимални изисквания за компютърна сигурност Чл. 61. Компютърната сигурност представлява система от мерки за сигурност, прилагани с цел осигуряване на конфиденциалност, интегритет и достъпност на класифицираната информация в АИС или мрежата. Тези мерки за сигурност се реализират чрез възможностите на техническите и програмните средства на компютърните системи и на специализирани средства.

Чл. 62. (1) Минималните изисквания за компютърна сигурност на АИС или мрежа включват: 3. непрекъснат запис на събития, свързани със сигурността на АИС или мрежата (одитни записи); записват се всички действия, свързани с контрола на достъпа, включително неуспешни опити за достъп, създаване или разрушаване на обекти или действия на оторизирани субекти, влияещи на сигурността на информационната система; 4. възможност за изучаване на одитните записи и установяване на свързаните със сигурността действия на отделните субекти на АИС или мрежа; 5. обработка на обекти на АИС или мрежата така, че при следващото им разпределяне към субект на АИС или мрежата той да не може да установи предишното им съдържание или да получи права за достъп на използвалите ги преди това субекти; 6. защита от вредни програмни средства.

(2) За осигуряване на минималните изисквания за сигурност се реализират програмни и технически механизми, спрямо които трябва да се осъществява конфигурационен контрол и които трябва да са защитени от нерегламентиран достъп.

Раздел VII

Режими за сигурност Чл. 63. Автоматизираните информационни системи или мрежи, в които се създава, обработва, съхранява и/или пренася класифицирана информация, се експлоатират в един или няколко от следните режими за сигурност: Чл. 64. (1) При работа на АИС или мрежа в режим за сигурност „С общ достъп": 2.всички потребители са упълномощени да работят с цялата класифицирана информация.

Чл. 65. (1) При работа на АИС или мрежа в режим за сигурност „С общо ниво": 2.достъпът на потребителите до класифицирана информация, за която те имат разрешение, се осъществява съгласно принципа „необходимост да се знае".

Чл. 66. (1) При работа на АИС или мрежа в режим за сигурност „С много нива": 2. достъпът на потребителите до класифицирана информация, за която те имат разрешение, се осъществява съгласно принципа „необходимост да се знае".

(3) Задължителният контрол на достъпа по ал. 2 трябва да осигурява: 1. присвояване на атрибут за сигурност на всеки субект и обект на АИС или мрежата; сравняването на атрибутите за сигурност на субектите с атрибутите за сигурност на обектите е основа за решения при осигуряване на достъпа; 2. изключително упълномощаване на администратора по сигурността на АИС или мрежата за присвояване и изменение на атрибутите за сигурност на субектите на АИС или мрежата по реда, установен в документите по сигурността на АИС или мрежата; 3. упълномощаване на определени потребители да присвояват атрибути за сигурност на входящи обекти, ако те не са притежавали такива атрибути; 4. способност да се обозначи класификационното ниво на изходящия от АИС или мрежата обект на базата на неговия атрибут за сигурност; 5. разпределяне на предварително дефинирани стойности на атрибутите за сигурност на новосъздадени обекти и съхраняване на атрибутите за сигурност при копиране на обекти; 6. защита на интегритета на атрибутите за сигурност.

Раздел VIII

Сигурност по време на експлоатацията и развитието на сертифицирани АИС или мрежи Чл. 67. (1) Експлоатацията и развитието на сертифицирана АИС или мрежа се извършват в пълно съответствие с установените мерки и процедури за сигурност и при съблюдаване на условията за нейното допълнително акредитиране.

Чл. 68. По време на експлоатацията и развитието на АИС или мрежата: 1. се извършва проверка на програмни средства и преносими носители на информация за наличието на вредни програмни средства, преди те да бъдат използвани в АИС или мрежата; 2. се извършва резервиране на системната и класифицираната информация, като резервните копия се съхраняват по начин, недопускащ нерегламентиран достъп до тях; 3. се извършва инсталиране на одобрени елементи и конфигуриране на АИС или мрежата само от оторизирани служители на организационната единица или от доставчика на АИС или мрежата под контрола на администратора по сигурността; 4. се извършва внедряване на нови технически и програмни средства или на техни версии само след оценка и тестване за сигурност от ОРЕ или след одобряване от ОАС, когато е необходимо допълнително акредитиране на АИС или мрежата; 5. се организира и извършва сервизна дейност по начин, недопускащ компрометиране сигурността на АИС или мрежата; 6.се извършва ремонт на криптографски средства по реда на наредбата по чл. 85 ЗЗКИ; 7. се извършва повторно одобряване за електромагнитни излъчвания на преминали ремонт технически средства; 8. не се допуска използване на носители на информация, технически и програмни средства, които са лична собственост.

Чл. 69.(1) Преносими компютърни устройства, съдържащи класифицирана информация, могат да бъдат свързвани към АИС или мрежа само ако тя е сертифицирана за ниво на класификация на информацията, съответстващо на маркировката на устройствата.

Раздел IX

Сигурност на АИС или мрежи, в които се създава, обработва, съхранява или пренася информация с класификационно ниво „Строго секретно" Чл. 70. Класифицирана информация с класификационно ниво „Строго секретно" се създава, обработва и съхранява във: 1. автоматизирани информационни системи, изградени на базата на самостоятелни, несвързани в мрежа компютърни устройства, защитени от паразитни електромагнитни излъчвания, или

2. автоматизирани информационни системи или мрежи, изградени в зони за сигурност, които са защитени от паразитни електромагнитни излъчвания.

Чл. 71. Класифицирана информация с ниво на класификация „Строго секретно" не се пренася по комуникационни системи извън зоните по чл. 70, т. 2.

Чл. 72. Класифицирана информация с класификационно ниво „Строго секретно" не се обработва с преносими компютърни устройства.

Чл. 73. Автоматизирани информационни системи или мрежи, в които се създава, обработва, съхранява или пренася информация с ниво на класификация „Строго секретно", работят в експлоатационен режим за сигурност „С общо ниво".

Чл. 74. Автоматизирани информационни системи или мрежи, съхраняващи и обработващи информация с ниво на класификация „Строго секретно", не могат да бъдат свързвани с други АИС и мрежи.

Чл. 75. Криптографски методи и средства за защита на информация с ниво на класификация „Строго секретно" могат да се използват само за защита при съхраняване на информацията с цел прилагане на принципа „необходимост да се знае".

Чл. 76. (1) Носителите за многократен запис на информация, използвани за съхраняване на информация с ниво на класификация „Строго секретно", се водят в отделен регистър.

Раздел X

Възможност за заместване на мерките за компютърна сигурност Чл. 77. (1) В случай на прекомерни разходи за осъществяване на някои мерки за компютърна сигурност те могат да се заместят с мерки от другите видове сигурност на АИС или мрежа.

(2) В случаите по ал. 1 се спазват следните принципи: 1. заместваната мярка за сигурност трябва да се реализира напълно; 2. качеството и нивото на заместваната мярка за сигурност трябва да бъдат запазени.

ДОПЪЛНИТЕЛНА РАЗПОРЕДБА § 1. По смисъла на наредбата: 6. „Риск за АИС или мрежа" е възможността определена заплаха да използва уязвимите места на АИС или мрежата и да компрометира в определена степен нейната сигурност.

7. „Ресурси на АИС или мрежа" са използваните в нея технически и програмни средства и техните характеристики, потребителската и системната информация на АИС или мрежата.

8. „Обект на АИС или мрежа" (или само „обект") е пасивен елемент на АИС или мрежата, който съдържа или приема информация.

9.„Субект на АИС или мрежа" (или само „субект") е активен елемент на АИС или мрежата (лице, процес или устройство), който осъществява обмен на информация между обектите или изменение в състоянието на системата или мрежата.

10. „Атрибути за сигурност" са уникални характеристики на обектите и субектите, използвани от механизмите за сигурност при осигуряване достъпа на субектите до обектите. За обектите атрибутите за сигурност отразяват нивото на класификация и категорията на информацията. За субектите атрибутите за сигурност отразяват разрешението за достъп до класифицирана информация и категориите информация, до които имат право на достъп на основата на принципа „необходимост да се знае".

11. „Механизъм за сигурност" е реализиране на мярка за сигурност в АИС или мрежата чрез технически и програмни средства.

12. „Идентификация на субекта" е разпознаване на субекта от механизмите за сигурност на АИС или мрежата.

13. „Автентификация на субекта" е процес на проверка от механизмите за сигурност на АИС или мрежата на идентичността на субекта.

14. „Оторизация на субекта" е даване на определени права на субекта за изпълнение на определени действия с ресурсите на АИС или мрежата.

15. „Конфиденциалност на информацията" е характеристика на класифицираната информация в АИС или мрежата, която изисква защитата й от разкриване от неоторизиран субект.

16. „Интегритет на информацията" е характеристика на информацията в АИС или мрежата, която изисква защитата й от промяна от неоторизиран субект.

ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ §2. (1) Автоматизираните информационни системи или мрежи, в които към момента на влизането в сила на наредбата се създава, обработва, съхранява и пренася класифицирана информация, се считат за сертифицирани за срок 18 месеца. § 3.Наредбата се приема на основание чл. 90, ал. 1 от Закона за защита на класифицираната информация.

Приложение към чл. 18, ал. 1

МИНИСТЕРСТВО НА ВЪТРЕШНИТЕ РАБОТИ

ДИРЕКЦИЯ „ЗАЩИТА НА СРЕДСТВАТА ЗА ВРЪЗКА"

СЕРТИФИКАТ ЗА СИГУРНОСТ

НА

АВТОМАТИЗИРАНА ИНФОРМАЦИОННА СИСТЕМА ИЛИ МРЕЖА

На основание чл. 14, т. 2 от Закона за защита на класифицираната информация и чл. 3, ал. 2, т. 5 от Наредбата за задължителните общи условия за сигурност на автоматизираните информационни системи (АИС) или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация, и резултатите от извършена комплексна оценка

Дирекция „Защита на средствата за връзка" издава настоящия сертификат за сигурност на...

(наименование на организационната единица-заявител)

Настоящият сертификат удостоверява че в посочената по-горе...

(АИС или мрежа) може да се създава, обработва, съхранява и пренася класифицирана информация с ниво на класификация за сигурност до... включително.

Срок на валидност до...

(място на издаване)