Обществени консултации

Проект на Наредба за сигурността на комуникационните и информационните системи

Необходимостта от приемане на Наредба за сигурността на комуникационните и информационните системи е породена в резултат от изменението и допълнението на Закона за защита на класифицираната информация (ЗЗКИ) (обн., ДВ, бр. 88 от 2018г.) във връзка със синхронизиране и адаптиране на българското законодателство с европейската стратегическа рамка (Политика за сигурност по отношение на осигуреността на информацията от гледна точка на междусистемните връзки - IASP 3 и Политика за сигурност във връзка с осигуреността на информацията по ТЕМПЕСТ - IASP 7) и тази на НАТО (AD 070-001 ACO Security Directive, AC/322-D/0030-REV5, AC/322-D(2010)0049 и SDIP-27), произтичащо от членството ни в Европейския съюз и НАТО.

Действащата Наредба за задължителните общи условия за сигурност на автоматизираните информационни системи или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация не е в съответствие с новоприетите законови положения, което е в противоречие на чл. 15, ал. 1 от Закона за нормативните актове, съгласно който нормативният акт трябва да съответства на Конституцията на Република България и на другите нормативни актове от по-висока степен.

Разпоредбата на чл. 90, ал. 1 от ЗЗКИ съдържа законова делегация, съгласно която задължителните общи условия за сигурност на КИС да бъдат определени в наредба, приета от Министерския съвет по предложение на Държавна агенция „Национална сигурност“ (ДАНС).

Съществуващото несъответствие между ЗЗКИ и подзаконовата нормативна уредба в областта на сигурността на КИС не може да бъде преодоляно чрез използването на организационни, технически или други мерки.

Преодоляването на горепосоченото несъответствие следва да стане чрез приемане на Наредба за сигурността на комуникационните и информационните системи, която да бъде приета с Постановление на Министерския съвет по предложение на председателя на ДАНС.


Дата на откриване: 28.8.2019 г.
Целева група: Всички заинтересовани
Сфера на действие: Външна политика, сигурност и отбрана
Дата на приключване: 27.9.2019 г.
Коментари
Коментари
Добави коментар
 
29 август 2019 г. 15:35:09
Aziti

Автоматично предоставяне и теглене на данни при връзка с интернет

Мобилните оператори имат ли възможност да предоставят и теглят автоматично данни от смартфони при осъществена връзка с интернет. Може ли да информирате собствениците на данните за подобни автоматизми - с дата и час, кой стои зад тях и предоставят ли се данните на трети лица и фирми.

26 септември 2019 г. 01:15:48
ivanmihalev

Коментар 1

Предложение: В наименованието на Наредбата да се добави ",в които се създава, обработва, ползва, съхранява и пренася класифицирана информация".

Мотив: Може би е пропуск и в ЗЗКИ, но КИС не са само такива, предназначени за класифицирана информация. С това наименование, все едно Наредбата се отнася за всички КИС.

 

Въпрос: Наредбата ще се отнася ли за чуждестранна класифицирана информация? Ако "не", това изрично да се упомене. Ако "да", ще трябва да се добавят текстове, отразяващи изискванията на споразуменията за взаимна защита на класифицираната информация, подписани от Република България.

 

Въпрос: В чл. 27 от ЗЗКИ е посочено, че "Чуждестранна класифицирана информация е класифицираната информация, предоставена от друга държава или международна организация по силата на международен договор, по който Република България е страна.". В такъв случай, ако дадена информация, създадена в Република България, във връзка с участието на последната в инициативи примерно на ЕС, трябва да се класифицира примерно като "EU CONFIDENTIAL", тази информация чуждестранна класифицирана информация ли е, при положение, че не е изпълнено изискването да бъде "предоставена от друга държава или международна организация"?

 

Предложение: В чл. 1, ал. 1, текстът "(КИС)", да се замени с текста "(наричани по-нататък КИС)", а същия текст в края на алинеята, да се премахне.

Мотив: Редакционно. Изречението се съкращава и се избягва повторение на "КИС".

 

Предложение: В чл. 1, ал. 1, текстът "...една или няколко от функциите...", да се замени с текста "...една или повече от функциите...".

Мотив: Думата "няколко" предполага част, но не всички, докато "повече", може да включва и всички.

 

Предложение: В чл. 1, ал. 1, текстът "...обмен на класифицирана информация...", да се замени с текста "...пренасяне на класифицирана информация...".

Мотив: В чл. 89 от ЗЗКИ, в същия текст се използва "пренасяне". Би следвало текстовете в нормативни актове от по-ниско ниво от закон, да съответстват на тези в закона.

26 септември 2019 г. 01:16:34
ivanmihalev

Коментар 2

Предложение: Редът и видовете сигурност, изброени в чл. 1, ал. 2, т. 3, да се приведат към реда и видовете сигурност, посочени в чл. 90, ал. 1, от ЗЗКИ, а именно:

а) компютърна сигурност;

б) комуникационна сигурност;

в) криптографска сигурност;

г) физическа сигурност;

д) документална сигурност;

е) персонална сигурност

ж) сигурността при свързване на КИС;

з) сигурност на информацията на електронен носител;

и) контрамерки по TEMPEST.

Мотив: Привеждане на текста към съдържанието на чл. 90, ал. 1, от ЗЗКИ.

 

Предложение: Текстът на чл. 2, т. 1, да се промени на "1. по защита на класифицираната информация, създавана, съхранявана, обработвана и пренасяна в КИС", както е посочено в чл. 9, т. 16, от ЗЗКИ. Сегашният текст на чл. 2, да стане алинея 1, като се добави нова алинея 2, с текст: "(2) Акредитира КИС за създаване, съхраняване, обработване и пренасяне на чуждестранна класифицирана информация.".

 

Предложение: В чл. 3, ал. 2, точка 3 да се премести след сегашната т. 12.

Мотиви: Редакционно. Да се групират текстовете, свързани с една област на защита.

 

Предложение: В чл. 3, ал. 2, т. 7, текстът "...допълнително и ново акредитиране...", да се замени с "...допълнително или ново акредитиране...".

Мотив: Предполага се, че става въпрос за два вида акредитиране. При това положение, няма как акредитирането да е и допълнително, и ново.

26 септември 2019 г. 01:17:16
ivanmihalev

Коментар 3

Предложение: Текстът на чл. 4, ал. 1, да се промени на "Ръководителят на организационната единица, в която се използват или се предвижда използването на КИС, по предложение на служителя по сигурността на информацията назначава в организационната единица (ОЕ) служител по сигурността на КИС или възлага функции по чл. 5 на служител от организационната единица. При необходимост в ОЕ може да бъдат определени повече от един служител по сигурността на КИС.".

Мотиви: Думите "експлоатират" и "изграждането" се заменят съответно с "използва" и "използването", така както е посочено в чл. 92 от ЗЗКИ.

Отпадането на текстовете свързани с административното звено по сигурността се предлага с цел хармонизиране с чл. 92 от ЗЗКИ. При общественото обсъждане на изменения и допълнения на ЗЗКИ в началото на 2018 г., имаше подобно предложение, което беше отхвърлено с мотив, че може да съществуват ОЕ без административно звено по сигурността. С цел универсалност, би следвало да се запази по-широката дефиниция на чл. 92 от ЗЗКИ или да се добави ново изречение от рода на "В ОЕ с обособено административно звено по сигурността на информацията".

Би било по-точно, ако вместо "административното звено по сигурността", се използва "административното звено по сигурността на класифицираната информация". В противен случай не е ясно за каква точно сигурност става въпрос. Например в една охранителна фирма може да има структура с наименование административно звено по сигурността, но то да отговаря само за охрана. В случай, че във фирмата възникне необходимост от използване на КИС, предназначена за класифицирана информация, някой охранител ли ще трябва да бъде назначен за служител по сигурността на КИС?

 

Предложение: Текстът на чл. 4, ал. 2, да се промени на " Служителят по сигурността на КИС трябва да има разрешение за достъп до най-високото ниво на класифицирана информация, на използваните в организационната единица КИС.". Би могло да се помисли, дали да не се изисква достъп с едно ниво по-високо от това на КИС или "СС", каквото изискване се прилага например в НАТО.

Мотиви: Редакционно.

 

Въпрос: В чл. 4, ал. 3, се използва текстът "...органите на държавната или съдебната власт, в които са обособени повече от една организационна единица ...". Създават ли се в органите на съдебната власт организационни единици, след като в Допълнителните разпоредби към ЗЗКИ, § 1, т. 3, тази власт изобщо не се споменава? Допустимо ли е включването в тази наредба на съдебната власт, след като в ЗЗКИ тази власт не се споменава никъде, за разлика от държавната власт, която присъства например в раздел II, т. 14, от Приложение № 1 към чл. 25 от ЗЗКИ? От друга страна, в посочените по-горе т. 3 и т. 14, се посочва местната власт, която обаче не присъства в обсъжданата Наредба. Да не говорим, че споменаването на съдебната власт, може да се изтълкува като опит на изпълнителната власт да контролира съдебната, което от своя страна поражда въпрос за конституционността на подобен контрол.

26 септември 2019 г. 01:18:43
ivanmihalev

Коментар 4

Предложение: Текстът на чл. 4, ал. 3, да се промени на "В органите на държавната или съдебната власт, в които са обособени повече от една организационна единица използваща КИС, служителят по сигурността на КИС може да е от състава на някоя от другите обособени в рамките на съответния орган организационни единици.".

Мотиви: Редакционно. В случай, че "съдебната власт" отпадне, текстът следва да се редактира още.

 

Предложение: В случай на отпадане на "съдебната власт", да се редактира чл. 4, ал. 4.

 

Предложение: В чл. 4 да се добави нова ал. 7, с текст "(7) Когато КИС обхваща няколко ОЕ, всяка от тях назначава или възлага функции на служител по сигурността на КИС за собствената си обособена част. Служителят по сигурността на цялата КИС се определя от организатора на КИС по чл. 25, ал. 1.".

Мотиви: По сегашния текст на Наредбата не е ясно кой ще отговаря за цялата КИС.

 

Предложение: Точка 2 от чл. 5, да отпадне.

Мотиви: Задължителните документи по сигурността на КИС се изготвят от ОРЕ, а експлоатационните документи по сигурността се изготвят от Администратора по сигурността на КИС. Функцията "координиране" е възможна само ако съществуват два или повече субекта, извършващи поредица от действия, които трябва да бъдат синхронизирани. При положение, че всяка една от горепосочените дейности се извършва само от по един субект, и при положение, че Администратора по сигурността на КИС може да е от състава на ОРЕ (т. е. субекта става един), за какво координиране може да става въпрос?

В случай, че горното предложение все пак не се приеме, то текстът "... на документите по сигурността ...", следва да се промени на "... задължителните документи по сигурността ...", така както е посочено в чл. 90, ал. 3 от ЗЗКИ.

 

Предложение: В чл. 5, т. 3, текстът "... изготвените документи по сигурността ...", следва да се промени на "... изготвените задължителни документи по сигурността ...", така както е посочено в чл. 90, ал. 3 от ЗЗКИ.

 

Предложение: В чл. 5, т. 3, текстът "... и ги предоставя на служителя по сигурността на информацията;", да отпадне.

Мотиви: Изготвянето на задължителните документи по сигурността е вменено на ОРЕ, поради което то би следвало да носи отговорност за съдържанието им и би следвало то да ги придвижва.

Тук има още един въпрос за изясняване. При положение, че в чл. 90, ал. 3, от ЗЗКИ е посочено, че задължителните специфични изисквания и процедури за сигурност на КИС се предлагат от служителя по сигурността на информацията, кой точно трябва да ги изготви? Нормалната практика в такива случаи е този който изготвя, той да предлага, като при необходимост и съгласува с други лица/органи/звена. В Наредбата се предвижда създаването на специален орган - ОРЕ, който да изготвя задължителните специфични изисквания и процедури за сигурност на КИС, без ЗЗКИ да предвижда (съответно узаконява) подобен орган. Щом за ЗЗКИ ОРЕ не съществува, носи ли този орган административно-наказателна отговорност по разпоредбите на същия закон, и къде е границата "законно - незаконно", по отношение действията и решенията на този орган?

26 септември 2019 г. 01:19:20
ivanmihalev

Коментар 5

Предложение: В чл. 5, т. 5, буква "б", текста "ограничаване на вреди", да се замени с "ограничаване или предотвратяване на вредите".

Мотиви: В т. 5 се посочва "случаи или съмнение". Когато имаме "случаи", означава, че вече има компрометиране и съответно настъпили конкретни вреди, последствията от които могат да бъдат "ограничавани". Когато имаме "съмнения", може все още да няма настъпили конкретни вреди, и можем да предприемем действия, които да "предотвратят" настъпването на предполагаемите вреди.

 

Предложение: В чл. 6, ал. 1, след текста "ОРЕ", да се добави текста "на КИС".

Мотив: Синхронизиране с наименованието на раздел IV от глава втора.

 

Предложение: В края на изречението на чл. 6, ал. 1, да се добави текстът "и възлага функции по чл. 6, ал. 2."

Мотиви: Сегашната редакция изисква само определяне със заповед на състава на ОРЕ, но не поставя изрично изискване в заповедта да се посочват задълженията му. С предлаганата редакция ще се изисква задължително да му бъдат възложени и съответните функции.

 

Предложение: В чл. 6, ал. 2, т. 2, текстът "документите", да се замени със "задължителните документи", така както е посочено в чл. 90, ал. 3 от ЗЗКИ.

 

Предложение: В чл. 6, ал. 2, т. 2, след текста "КИС", да се добави текстът "и след съгласуването им със служителя по сигурността на КИС, ги предоставя на служителя по сигурността на информацията".

Мотиви: Прецизиране на действията по изготвяне на тези документи.

 

Въпрос: При положение, че съгласно чл. 6, ал. 2, т. 3, ОРЕ "участва в подбора и тестването ...", кой друг участва и кой е организатор на тези мероприятия? "Участва" предполага наличие на два или повече субекта, от които поне един е организатор и поне един е участник.

 

Предложение: В чл. 6, ал. 2, т. 4, след текста "КИС и", да се добави текстът "за ново или".

Мотиви: Съгласуване с предложената промяна на чл. 3, ал. 2, т. 7.

 

Предложение: В началото на чл. 6, ал. 2, т. 6, да се добави текстът "съгласувано със служителя по сигурността на информацията".

Мотиви: По-пълно описание на действията при възлагане на функции на администратор по сигурността на КИС.

 

Предложение: Текстът на чл. 6, ал. 2, т. 7, да придобие вида "7. организира и провежда обучение по сигурността в КИС на служителите, на които е възложена дейността по развитието, експлоатацията или сигурността на КИС, включително администраторите по сигурността на КИС, както и на лицата, участващи в проектирането и изграждането на системата от мерки за сигурност на КИС;"

Мотиви: Премахване на повтарящ се текст. Замяната на "управлението" с "експлоатацията" цели уеднаквяване с дейностите, извършвани от ОРЕ - развитие и експлоатация.

26 септември 2019 г. 01:20:07
ivanmihalev

Коментар 6

Предложение: В чл. 6, ал. 2, т. 10, текстът "КИС", да се замени с "информацията".

Мотиви: Във връзка с предлаганата промяна на чл. 6, ал. 2, т. 2. ОРЕ предоставя задължителните документи по сигурността на служителя по сигурността на информацията и би следвало това което се предлага в точката, също да се предоставя на този служител. По негова преценка, може да предостави тази информация на служителя по сигурността на КИС.

В Наредбата има една неяснота, кой какви права и задължения има спрямо останалите лица или органи по сигурността. Служителят по сигурността на информацията и ОРЕ се определят със заповед на ръководителя на ОЕ и би следвало като йерархия да са равнопоставени по отношение КИС. Служителят по сигурността на КИС се определя по предложение на служителят по сигурността на информацията и би следвало да му е "подчинен". Администраторът по сигурността на КИС се определя по предложение на ОРЕ и би следвало да му е "подчинен". Може да се въведат изисквания за информиране между страните, но контрола или поставянето на задачи от едно йерархично ниво върху или на по-високо йерархично ниво, е в разрез с принципите за управление на организационни структури.

 

Предложение: В случай на отпадане на "съдебната власт", да се редактира чл. 6, ал. 4.

 

Предложение: Текстът на чл. 6, ал. 5, да придобие вида " (5) В случаите по ал. 4 състава на ОРЕ се определя със заповед на ръководителя на ОЕ, която е организатор на КИС, съгласувано с ръководителите на останалите ОЕ."

 

Предложение: В случай на отпадане на "съдебната власт", да се редактира чл. 7, ал. 2.

 

Предложение: От чл. 7, ал. 3, да се премахне текстът "компетентния орган на държавната или съдебната власт по предложение на".

Мотиви: В чл. 7, ал. 1, изрично посочва, че функциите на администратор по сигурността на КИС се възлагат със заповед на ръководителя на ОЕ.

 

Предложение: В чл. 8, ал. 2, текстът "могат да се определят повече от един администратор", да се замени с текста "може да се определят двама или повече администратори".

Мотиви: Редакционно.

26 септември 2019 г. 01:20:46
ivanmihalev

Коментар 7

Предложение: Текстът на чл. 8, ал. 4, да придобие вида "(4) Администраторът по сигурността на КИС трябва да има разрешение за достъп с едно ниво по-високо от най-високото ниво на класифицирана информация в КИС, с изключение на КИС, предназначени за класифицирана информация с ниво "Строго секретно".

Мотиви: Както предложението за промяна на чл. 4, ал. 2.

 

Предложение: В чл. 8, ал. 5, текстът в края на изречение първо "нейната част", да се замени с "нейната обособена част".

 

Въпрос: Не е ли налице дублиране на задължение за информиране на служителя по сигурността на КИС, между чл. 9, ал. 1, т. 6, буква "г", и чл. 9, ал. 1, т. 9?

 

Предложение: Текстът на чл. 9, ал. 2, да придобие вида "(2) Функциите по ал. 1 могат да бъдат разпределени между няколко администратори по сигурността на КИС, определени по реда на чл. 8, ал. 2."

Мотиви: Какви са тези "специално определени" администратори?

 

Предложение: В чл. 10, да се добави нова алинея 1 с текст "(1) За всяка КИС, със заповед на ръководителя на ОЕ или упълномощено от него лице, се възлагат функции на администратор на КИС.". Досегашната алинея 1, да стане алинея 2, а досегашната алинея 2, да стане алинея 3.

Мотиви: В предлагания текст на Наредбата не е определено кой възлага функции на администратор на КИС.

 

Предложение: В чл. 10, ал. 3 (преди ал. 2), след текстът "функциите", да се добави текстът "и правата", а текстът "ал. 1", да се промени на "ал. 2".

Мотиви: Синхронизиране с текста на ал. 2 (преди ал. 1), т. 1, в който се посочват "функции" и "права".

 

Предложение: В чл. 12, т. 3, след текста "на което", да се добави текстът "на основание заповед на ръководителя на ОЕ или упълномощено от него лице,".

Мотиви: В предлагания текст на Наредбата не е определено чия е санкцията за предоставяне на права на потребителите на КИС.

 

Предложение: В чл. 14, изречение първо да придобие вида "Процедурата по акредитиране на КИС започва от етапа на проектирането й.".

Мотиви: Говорим за акредитиране на КИС, а не за проектиране на КИС.

 

Въпрос: В чл. 14 е посочено, че ОРЕ взаимодейства с ОАС. При положение, че съгласно чл. 90, ал. 3, задължителните документи по сигурността се предлагат от служителя по сигурността на информацията, той или ОРЕ трябва да взаимодейства с ОАС?

 

Предложение: В чл. 17, т. 1, в текстът "документите", да се замени с текста "задължителните документи".

26 септември 2019 г. 01:21:33
ivanmihalev

Коментар 8

Предложение: В чл. 18, ал. 1, да се добави точка 4, с текст "4. в случай на междусистемна свързаност проверява изпълнението на обстоятелствата по чл. 15, ал. 3, т. 2, подточки "в", "г" и "д"".

Мотиви: В предлагания текст на Наредбата не се споменава какво се прави при междусистемната свързаност.

 

Предложение: Досегашният текст на чл. 19 да стане алинея 1, като в края на изречението се добави "в определен срок".

Да се добави нова алинея 2, с текст "(2) В случай, че несъответствията по ал. 1 не бъдат отстранени в определения срок, ОАС има право да прекрати процедурата по акредитация, като уведомява за това Заявителя.".

 

Предложение: Досегашният текст на чл. 21 да стане алинея 1.

Да се добави нова алинея 2, с текст "(2) В случай на осъществяване на междусистемна свързаност, в сертификата по ал. 1 се включва и идентификатор на свързаната КИС.".

 

Предложение: В чл. 22, ал. 2, да се добави нова точка 6 с текст "6. в случай на осъществяване на междусистемна свързаност, в сертификационния отчет се включва идентификация на свързаните КИС.".

 

Предложение: В чл. 23, ал. 2, да се добави нова точка 4 с текст "4. в случай на осъществяване на междусистемна свързаност, се посочват общи сведения за свързаните КИС.".

 

Предложение: В чл. 24, ал. 2, текстът "за положителен резултат от комплексната оценка.", да се замени с текста "за получаване на положителна комплексна оценка".

Мотиви: Така като е посочено в чл. 20, ал. 1.

 

Предложение: В чл. 24, ал. 4, да се добави нова точка 5 с текст "5. в случай на осъществяване на междусистемна свързаност, в сертификата по чл. 23, ал. 1, се включва информация за идентификация на свързаните КИС.".

 

Предложение: В чл. 25, ал. 1, изречение първо, текстът "съставните части на КИС", да се замени с текста "обособените части на КИС".

 

Предложение: В случай на отпадане на "съдебната власт", да се редактира чл. 25, ал. 1, изречение второ.

 

Предложение: В чл. 25, ал. 1, изречение второ, текстът "компетентния орган на държавната или съдебната власт.", да се замени с текста "ръководителя на ОЕ, която е организатор на КИС, съгласувано с ръководителите на останалите ОЕ.".

 

Предложение: В чл. 25, ал. 2, текстът "нейното цялостно акредитиране за сигурност;", да се замени с текста "цялостното акредитиране на сигурността на КИС;".

 

Предложение: В чл. 25, ал. 4, текстът "на частта от КИС", да се замени с текста "на обособената част от КИС".

26 септември 2019 г. 01:22:58
ivanmihalev

Коментар 9

Предложение: В чл. 27, ал. 1, т. 6, след текста "наличие на", да се добави "междусистемни".

 

Предложение: В чл. 28, ал. 1, текстът "промени по", да се замени с текста "изменения в КИС, попадащи в обхвата на".

Мотиви: Както е записано в чл. 22, ал. 2, т. 4.

 

Предложение: В чл. 28, ал. 1, текстът "т. 4 в КИС", да се замени с текста "т. 4, ръководителят на".

Мотиви: Съгласно чл. 15, ал. 1, заявление се подава от ръководителя на ОЕ.

 

Предложение: В чл. 28, ал. 3, т. 1, текстът "промените", да се замени с текста "измененията".

Мотиви: Както е записано в чл. 22, ал. 2, т. 4.

 

Предложение: В чл. 30, текстът "промените", да се замени с текста "измененията".

Мотиви: Както е записано в чл. 22, ал. 2, т. 4.

 

Предложение: В чл. 31, ал. 1, т. 1 и т. 2, текстът "специфичните изисквания за сигурност и в процедурите за сигурност;", да се замени с текста "задължителните специфични изисквания за сигурност и процедури за сигурност;".

Мотиви: Както е записано в чл. 90, ал. 3.

 

Предложение: В чл. 31, ал. 3, текстът "промяната е", да се замени с текста "измененията в КИС са".

Мотиви: Както е записано в чл. 22, ал. 2, т. 4.

 

Предложение: Да се добави нов чл. 31а, със следния текст "чл. 31а. Ново акредитиране на КИС се извършва при изтичане на сроковете по чл. 21, ал. 1, т. 6, на сертификата за сигурност на КИС.".

Мотиви: В предлагания текст на Наредбата не се споменава какво се прави след изтичане на сроковете по чл. 21, ал. 1, т. 6, а в същото време остава необходимостта от използване на КИС.

 

Предложение: В чл. 32, ал. 1, преди думата "Документи", да се добави "Задължителните".

Мотиви: Както е записано в чл. 90, ал. 3.

 

Предложение: Наименованието на раздел II от глава четвърта "Специфични изисквания за сигурност", да се промени на "Задължителни специфични изисквания за сигурност".

Навсякъде по-нататък в Наредбата да се използва същата фраза.

26 септември 2019 г. 01:23:32
ivanmihalev

Коментар 10

Предложение: В чл. 33, ал. 2, думата "системата", да се замени с "КИС", а текстът в края на изречението "на КИС", да отпадне.

 

Предложение: В чл. 33, ал. 3, текстът "ОРЕ", да се замени със "служителя по сигурността на информацията".

Мотиви: Във връзка с чл. 90, ал. 3, и някои от другите предложения за промяна.

 

Предложение: В чл. 33, ал. 4, т. 4, след буква "в", да се добави нова буква "г", с текст "г) конфиденциалност на информацията;", а останалите букви да се преномерират.

 

Предложение: В чл. 33, ал. 4, т. 7, преди текста "част от КИС", да се добави думата "обособена".

 

Предложение: Към чл. 34 и другите свързани с анализ на риска. В Наредба за минималните изисквания за мрежова и информационна сигурност, приложение № 3 (също 5 и 9), има методика за анализ и оценка на риска. Подобна може да се включи в тази Наредба, което много ще улесни работата на ОАС и ОЕ.

 

Предложение: В чл. 35, ал. 2, изречение второ, текстът "приемлив резултат от анализа на всеки конкретен риск.", да се замени с текста "приемливо ниво на всеки конкретен риск, елиминиране или минимизиране на остатъчния риск."

 

Предложение: В чл. 36, след текста "видовете сигурност,", да се добави текстът "по чл. 1, ал. 2, т. 3,".

Мотиви: Конкретизират се видовете сигурност.

 

Предложение: В чл. 37, навсякъде текстът "физически и информационни ресурси", да се замени с текста "физически и/или информационни ресурси".

Мотиви: Използването на съюза "и" предполага едновременност, докато на практика може да имаме загуба само на един от ресурсите. С редакцията се посочва и алтернативността.

 

Предложение: В чл. 39, текстът "Във всички етапи", да се замени с текста "По време на проектирането и експлоатацията на КИС", а текстът "изготвя на база", да се замени с текста "изготвят и изменят на база".

Мотиви: Конкретизират се етапите от жизнения цикъл на КИС. Освен изготвяне, Наредбата допуска и изменение на СИС.

 

Предложение: Наименованието на раздел III от глава четвърта "Процедури за сигурност", да се промени на "Задължителни процедури за сигурност".

Навсякъде по-нататък в Наредбата да се използва същата фраза.

26 септември 2019 г. 01:24:07
ivanmihalev

Коментар 11

Предложение: В чл. 41, ал. 1, реда на разделите на процедурите да се приведат към поредността съгласно чл. 90, ал. 1 от ЗЗКИ:

1. организация на сигурността;

2. компютърна сигурност (включително при осигуряване със средства на КИС и управление на конфигурацията);

3. комуникационна сигурност;

4. криптографска сигурност;

5. физическа сигурност;

6. документална сигурност;

7. персонална сигурност;

8. сигурност при свързване;

9. сигурност на информацията на електронен носител;

10. контрамерки по TEMPEST;

11. действия при критични по отношение на сигурността ситуации.

 

Предложение: В чл. 41, ал. 2, текстът "инцидент в сигурността", да се промени на "инцидент със сигурността".

 

Предложение: В чл. 45, ал. 2, думата "управлението", да се замени с думата "експлоатация".

 

Предложение: В чл. 46, ал. 2, т. 1, думата "управлението", да се замени с думата "експлоатация".

 

Предложение: В чл. 47, думата "персонала", да се замени с текста "лицата по чл. 45".

 

Предложение: В чл. 49, текстът на т. 2 да се промени на "2. в зоните по чл. 43, ал. 1, ал. 2 и ал. 3.".

Мотиви: Един принтер може да се окаже критично по отношение на сигурността оборудване, поради това, че само през него от КИС може да се изведе класифицирана информация.

 

Предложение: В чл. 50, текстът "получателят е КИС,", да се замени с текста "приемащата КИС е".

 

Предложение: В чл. 51, ал. 1, текстът "грифа за сигурност", да се замени с текста "нивото на класификация".

Мотиви: Грифът за сигурност е графичното изражение на нивото на класификация, но последното е първично.

 

Предложение: В чл. 54, ал. 2, след думата "TEMPEST", да се постави запетайка, съюзът "и" да се премахне, а в края на изречението да се добави текста "и механизмите за защита на границата".

 

Предложение: В чл. 58, ал. 1, текстът "чл. 85 ЗЗКИ криптографски средства.", да се замени с текста "чл. 85 от ЗЗКИ криптографски методи.".

Мотиви: Редакционно, изпуснато "от".

 

Предложение: В чл. 58, ал. 3, текстът "криптографски средства", да се замени с текста "криптографски методи и средства".

Мотиви: Съгласно наредбата за криптографска сигурност.

 

Предложение: В чл. 78, ал. 1, след т. 3 да се създаде нова т. 4, с текст "4. посоката на пренос на информацията или информационната услуга;". Останалите точки да се преномерират с номера от 5 до 13.

 

Предложение: Съгласно Тълковния речник на българския език, "Методология" е съвкупност от методи, прилагани от една наука при изследване. Предлагам текстът на §1, т. 25, от Допълнителните разпоредби на Наредбата, да се замени с текста от речника.

 

Предложение: Да се създадат нова т. 26, с текст ""Методика" е съвкупност от методи за практическо извършване на дадена дейност." и нова т. 27, с текст ""Метод" е подход за теоретично изследване или практическо осъществяване на нещо.", така както е посочено в Тълковния речник на българския език. Досегашната т. 26 и останалите след нея да се преномерират с номера от 28 нататък.

26 септември 2019 г. 11:27:47
t teodosiev

Предложения за корекция и изменения

  1. ЗЗКИ, Допълнителни разпоредби, § 1., т.19. (Нова – ДВ, бр. 88 от 2018 г. ) "Комуникационна и информационна система (КИС)" е съвкупност от технически (включително комуникационни средства, устройства за защита на границата, криптографски средства и среда за разпространение на сигнала в границите на системата) и програмни средства, методи, процедури и персонал, организирани за осъществяване на една или няколко от функциите по създаване, обработване, ползване, съхраняване и обмен на класифицирана информация в електронна форма. Комуникационната и информационната система може да е изградена и на основата на една или повече отделни работни станции, несвързани в мрежа.

Съгласно определението за КИС криптографските средства са част от системата (при АИС/М не беше така). В тази връзка възниква въпросът длъжностните лица по КИС, основно служителя по сигурността на КИС, ще имат ли функции и задачи свързани с криптографските средства.

Ако „да“ следва да се запишат, а също да се прецизира какво РДКИ да притежава – по аналогия на РДКИ на служителя по криптографска сигурност. Ако „не“ също считам за редно да се запише, че не „отговарят“ за тях….

 

  1. В Наредба за криптографската сигурност на класифицираната информация (НКСКИ) Раздел VI е озаглавен „Използване на криптографските средства в сложни условия“, в чл. 40 и 41 е определен реда за въвеждане в експлоатация на криптографските мрежи. На практика почти всички криптографски мрежи са част от КИС, т.е. съществуват КИС временно действащи в сложни условия.

В тази наредба не е определено как се процедира с тези КИС (заявление, сертифициране, експлоатация, прекратяване на експлоатацията…)

 

  1.  Чл. 5. Служителят по сигурността на КИС: 1. създава необходимата организация и осъществява контрол на сигурността на КИС в организационната единица; 2. координира изготвянето на документите по сигурността на КИС и на изработените на тяхна основа експлоатационни документи по сигурността; 3. съгласува изготвените документи по сигурността на КИС и ги предоставя на служителя по сигурността на информацията;

3.1. Какво се разбира под понятието „експлоатационни документи по сигурността“? – в наредбата не е посочено кои са тези документи.

3.2. Предлагам точка 3 да отпадне – до сега документите по сигурността се съгласуват със ССИ и считам че допълнителното съгласуване със ССКИС не е необходимо. Практиката показва, че в по-големите организационни единици ССКИС е в състава на ОРЕ (или негов ръководител) – т.е. участва при изготвянето на тези документи, а в по-малките ОЕ ССКИС и ССИ често са едно и също лице.