ПОСТАНОВЛЕНИЕ № 280 ОТ 12 ДЕКЕМВРИ 2013 Г. ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА НАРЕДБАТА ЗА ЗАДЪЛЖИТЕЛНИТЕ ОБЩИ УСЛОВИЯ ЗА СИГУРНОСТ НА АВТОМАТИЗИРАНИТЕ ИНФОРМАЦИОННИ СИСТЕМИ ИЛИ МРЕЖИ, В КОИТО СЕ СЪЗДАВА, ОБРАБОТВА, СЪХРАНЯВА И ПРЕНАСЯ КЛАСИФИЦИРАНА ИНФОРМ
ПОСТАНОВЛЕНИЕ № 280 ОТ 12 ДЕКЕМВРИ 2013 Г. ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА НАРЕДБАТА ЗА ЗАДЪЛЖИТЕЛНИТЕ ОБЩИ УСЛОВИЯ ЗА СИГУРНОСТ НА АВТОМАТИЗИРАНИТЕ ИНФОРМАЦИОННИ СИСТЕМИ ИЛИ МРЕЖИ, В КОИТО СЕ СЪЗДАВА, ОБРАБОТВА, СЪХРАНЯВА И ПРЕНАСЯ КЛАСИФИЦИРАНА ИНФОРМАЦИЯ, ПРИЕТА С ПОСТАНОВЛЕНИЕ № 99 НА МИНИСТЕРСКИЯ СЪВЕТ ОТ 2003 Г. (ДВ, БР. 46 ОТ 2003 Г.)
Обн. ДВ. бр.108 от 17 Декември 2013г.
МИНИСТЕРСКИЯТ СЪВЕТ
ПОСТАНОВИ:
§ 1. В чл. 3, ал. 2 се създава т. 10:
"10. отнема и прекратява действието на сертификати за сигурност на АИС или мрежи при условията, посочени в глава шеста, раздел V от Закона за защита на класифицираната информация (ЗЗКИ)."
§ 2. В чл. 4 се правят следните изменения и допълнения:
1. В ал. 1 думите "или възлага на назначени служители от същото звено функции по чл. 5" се заменят с "или възлага функции по чл. 5 на служител от същото звено, а при липса на такова звено - на служител от организационната единица" и се създава изречение второ:
"При необходимост може да бъдат определени повече от един служител по сигурността на АИС или мрежи."
2. Създават се ал. 3 - 5:
"(3) В органите на държавната власт и на местното самоуправление, в които са обособени повече от една организационна единица, служителят по сигурността на АИС или мрежи може да е от състава на друга организационна единица в рамките на съответния орган.
(4) Функции на служител по сигурността на АИС или мрежи в случаите по ал. 3 се възлагат със заповед на ръководителя на ведомството или органа на местното самоуправление по предложение на ръководителя на организационната единица, в която ще се изпълняват функциите на служител по сигурността на АИС или мрежи, съгласувано с ръководителя на организационната единица, в състава на която е служителят.
(5) Задълженията на служителя по сигурността на АИС или мрежи в случаите по ал. 3 се определят с акта по чл. 22, ал. 1."
§ 3. В чл. 7 се правят следните изменения и допълнения:
1. Досегашният текст става ал. 1.
2. Създават се ал. 2 - 4:
"(2) В органите на държавната власт и на местното самоуправление, в които са обособени повече от една организационна единица, администраторът по сигурността на АИС или мрежата може да е от състава на друга организационна единица в рамките на съответния орган.
(3) Функции на администратор по сигурността на АИС или мрежата в случаите по ал. 2 се възлагат със заповед на ръководителя на ведомството или на органа на местното самоуправление по предложение на ръководителя на организационната единица, в която ще се изпълняват функциите на администратор по сигурността на АИС или мрежата, съгласувано с ръководителя на организационната единица, в състава на която е служителят.
(4) Задълженията на администратора по сигурността на АИС или мрежата в случаите по ал. 3 се определят с акта по чл. 22, ал. 1."
§ 4. В чл. 8, ал. 3 накрая се поставя запетая и се добавя "като не могат да се изпълняват от едно и също лице".
§ 5. В чл. 13, ал. 1 след думите "АИС или мрежа" се добавя "ръководителят на" и думата "наричана" се заменя с "наричан".
§ 6. В чл. 14, ал. 2 след думите "по ал. 1 се посочват" се добавя "срокове за предоставяне на документите по сигурността по чл. 29, съобразени с етапите и сроковете за изграждане на АИС или мрежата" и се поставя запетая.
§ 7. В чл. 18, ал. 1 думата "приложението" се заменя с "приложение № 1".
§ 8. В чл. 19 т. 6 се изменя така:
"6. срок на валидност на сертификата:
a) "Строго секретно" - 3 години;
б) "Секретно" - 4 години;
в) "Поверително" - 5 години;
г) "За служебно ползване" - без срок;".
§ 9. В чл. 20, ал. 2, т. 4 думите "и ново" се заличават.
§ 10. В чл. 22, ал. 1 се създава изречение второ:
"В органите на държавната власт и на местното самоуправление, в които са обособени повече от една организационна единица, вместо споразумение може да се издаде заповед на ръководителя на ведомството или на органа на местното самоуправление."
§ 11. Член 28 се изменя така:
"Чл. 28. (1) Органът по акредитиране на сигурността на АИС или мрежи:
1. прави проверка на изпълнението на мерките за сигурност, свързани с промените в специфичните изисквания за сигурност и в процедурите за сигурност;
2. утвърждава промените в специфичните изисквания за сигурност и в процедурите за сигурност;
3. изготвя отчет за допълнителното акредитиране.
(2) Проверките по ал. 1, т. 1 се извършват от комисията по чл. 16, ал. 2. При необходимост може да бъдат привличани специалисти по видовете сигурност.
(3) Проверките по ал. 1, т. 1 може да не бъдат извършвани за АИС или мрежи, в които се създава, обработва, съхранява или пренася класифицирана информация, представляваща служебна тайна.
(4) Отчетът по ал. 1, т. 3 е неразделна част от сертификата и съдържа:
1. общо описание на промените;
2. основни изводи от оценката на сигурността и проверката на изпълнението на мерките за сигурност в АИС или мрежата;
3. изменения в условията за допълнително акредитиране, ако има такива."
§ 12. В чл. 38, т. 2 след думите "техническата среда" се поставя запетая и се добавя "а в случаите по чл. 77 - резултатите от изготвения анализ на риска и предложените заместващи мерки".
§ 13. В глава пета наименованието на раздел V се изменя така:
"Комуникационна и криптографска сигурност, защита от паразитни електромагнитни излъчвания, които могат да доведат до компрометиране на сигурността на АИС или мрежата"
§ 14. В чл. 67 се създават ал. 6 и 7:
"(6) Най-малко 6 месеца преди изтичане срока на валидност на издадения сертификат за сигурност на АИС или мрежата в случаите, когато е необходимо да се продължи експлоатирането й, заявителят подава до ОАС на АИС или мрежи заявление за ново акредитиране по реда на глава трета, раздел I.
(7) В случаите по ал. 6, когато не са настъпили промени в глобалната, локалната и електронната среда за сигурност на АИС или мрежата, проверката по чл. 16, ал. 1, т. 2 може да не бъде извършвана."
§ 15. В глава пета наименованието на раздел X се изменя така:
"Възможност за заместване на мерките за компютърна сигурност, комуникационна сигурност и защита от паразитни електромагнитни излъчвания, които могат да доведат до компрометиране на сигурността на АИС или мрежата"
§ 16. В чл. 77 се правят следните изменения и допълнения:
1. В ал. 1 след думите "компютърна сигурност" се поставя запетая и се добавя "комуникационна сигурност и защита от паразитни електромагнитни излъчвания, които могат да доведат до компрометиране на сигурността на АИС или мрежата" и се поставя запетая.
2. Създава се нова ал. 2:
"(2) Заместващите мерки се предоставят на ОАС от заявителя за утвърждаване като неразделна част от СИС след направен анализ на риска в рамките на процедурите по акредитиране или допълнително акредитиране."
3. Досегашната ал. 2 става ал. 3.
§ 17. Създава се глава шеста:
"Глава шеста
РЕД ЗА ОТНЕМАНЕ И ПРЕКРАТЯВАНЕ НА СЕРТИФИКАТИ ЗА СИГУРНОСТ НА АИС ИЛИ МРЕЖИ
Чл. 78. (1) Отнемането на сертификата по чл. 94а ЗЗКИ се извършва с акт по образец съгласно приложение № 2.
(2) Органът по акредитиране на сигурността на АИС или мрежи уведомява съответната организационна единица, като изпраща екземпляр от отнемането на сертификата за сигурност на АИС или мрежата.
(3) След получаване на акта по отнемане на сертификата ръководителят на организационната единица незабавно предприема мерки за прекратяване на дейността по създаване, обработване, съхраняване и пренасяне на класифицирана информация по тази АИС или мрежа.
Чл. 79. (1) При наличие на основание по чл. 94б, т. 1 ЗЗКИ за прекратяване действието на издаден сертификат по чл. 14, т. 2 ЗЗКИ, ОАС прекратява действието на сертификата за сигурност на АИС или мрежата с акт по образец съгласно приложение № 3 не по-късно от датата на изтичане срока на сертификата и уведомява писмено ръководителя на организационната единица, като изпраща екземпляр от него. След получаване на акта за прекратяване на сертификата за сигурност на АИС или мрежата ръководителят на организационната единица незабавно предприема мерки за прекратяване на дейността по създаване, обработване, съхраняване и пренасяне на класифицирана информация в тази АИС или мрежа.
(2) При наличие на основание по чл. 94б, т. 2, 3 и 4 ЗЗКИ за прекратяване действието на издаден сертификат по чл. 14, т. 2 от ЗЗКИ:
1. заявителят подава до ОАС заявление за прекратяване на издадения сертификат, изготвено от ОРЕ и съгласувано със служителя по сигурността на информацията, в което се посочват основанието за прекратяване действието на сертификата и предприетите мерки за защита на класифицираната информация, обработвана в АИС или мрежата;
2. в случаите на промяна нивото на класификация по чл. 94б, т. 2 ЗЗКИ заявителят подава и заявление за започване на процедура по акредитиране по чл. 13;
3. органът по акредитиране на сигурността на АИС или мрежи уведомява органа по прекия контрол за подаденото заявление за прекратяване действието на сертификата с изключение на случаите, в които основание за прекратяване е промяна на нивото на класификация към по-високо;
4. органът по прекия контрол извършва проверка и уведомява ОАС за резултатите от нея.
(3) Въз основа на данните от заявлението и/или резултатите от извършената проверка по ал. 2, т. 4 ОАС взема решение за прекратяване действието на сертификата за сигурност с акт по образец съгласно приложение № 3.
(4) Органът по акредитиране на сигурността на АИС или мрежи уведомява заявителя, като изпраща екземпляр от акта за прекратяване действието на сертификата за сигурност.
(5) В случаите по ал. 2, т. 2, когато нивото на класификация на АИС или мрежата се променя към по-ниско и не са настъпили промени в глобалната, локалната и електронната среда за сигурност на АИС или мрежата, проверката по чл. 16, ал. 1, т. 2 не се извършва."
§ 18. В § 1 от допълнителната разпоредба се създава т. 25:
"25. "Администратор на АИС или мрежи" е лице, изпълняващо функциите по системно, приложно, мрежово или друго администриране в системата или мрежата."
§ 19. Наименованието на приложението се изменя така:
"Приложение № 1 към чл. 18, ал. 1"
§ 20. Създават се приложения № 2 и 3:
"Приложение № 2 към чл. 78, ал. 1
ДЪРЖАВНА АГЕНЦИЯ "НАЦИОНАЛНА СИГУРНОСТ" |
СПЕЦИАЛИЗИРАНА ДИРЕКЦИЯ "ТЕХНИЧЕСКИ ОПЕРАЦИИ" |
ОТНЕМАНЕ НА СЕРТИФИКАТ ЗА СИГУРНОСТ НА АИС ИЛИ МРЕЖА |
№ ........................................... |
На основание чл. 94а от Закона за защита на класифицираната информация и чл. 78, ал. 1 от Наредбата за задължителните общи условия за сигурност на автоматизираните информационни системи (АИС) или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация, поради констатирани системни нарушения на изискванията за сигурност на класифицираната информация, създавана, обработвана, съхранявана и пренасяна в АИС или мрежа, |
Специализирана дирекция "Технически операции" на Държавна агенция "Национална сигурност" отнема издаден сертификат за сигурност |
№ .................................................................................. |
на .................................................................................. |
....................................................................................... |
(наименование на АИС или мрежа) |
изградена за нуждите на ................................................ |
..................................................................................... |
(наименование на организационната единица - заявител) |
Отнемането не подлежи на обжалване по съдебен ред. |
Отнемането може да бъде оспорено по реда на глава пета, раздел V от ЗЗКИ пред Държавната комисия по сигурността на информацията в 7-дневен срок от уведомяването на организационната единица. |
Екземпляр от отнемането да се връчи на ръководителя или на упълномощен представител на организационната единица. |
.................................. | ||
(дата на издаване) | Печат: | |
(....................) | ||
(място на издаване) | (фамилия) |
Приложение № 3 към чл. 79, ал. 1
ДЪРЖАВНА АГЕНЦИЯ "НАЦИОНАЛНА СИГУРНОСТ" |
СПЕЦИАЛИЗИРАНА ДИРЕКЦИЯ "ТЕХНИЧЕСКИ ОПЕРАЦИИ" |
ПРЕКРАТЯВАНЕ НА СЕРТИФИКАТ ЗА СИГУРНОСТ НА АИС ИЛИ МРЕЖА |
№ ........................................... |
На основание чл. 94б, т. ... от Закона за защита на класифицираната информация и чл. 79, ал. 1 от Наредбата за задължителните общи условия за сигурност на автоматизираните информационни системи (АИС) или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация, поради ... (изтичане срока на действие на сертификат за сигурност на АИС/М; премахване или промяна на нивото на класификация на информацията, която се създава, обработва, съхранява и пренася в АИС/М; прекратяване експлоатацията на АИС/М; закриване на организационната единица без правоприемник) |
Специализирана дирекция "Технически операции" на Държавна агенция "Национална сигурност" прекратява действието на издаден сертификат за сигурност № .......... |
...................................................................................... |
на .................................................................................. |
....................................................................................... |
(наименование на АИС или мрежа) |
изградена за нуждите на ................................................. |
...................................................................................... |
(наименование на организационната единица - заявител) |
Прекратяването не подлежи на обжалване по съдебен ред. |
Прекратяването може да бъде оспорено по реда на глава пета, раздел V от ЗЗКИ пред Държавната комисия по сигурността на информацията в 7-дневен срок от уведомяването на организационната единица. |
Екземпляр от прекратяването да се връчи на ръководителя или на упълномощен представител на организационната единица. |
.................................. | ||
(дата на издаване) | Печат: | |
(....................) | ||
(място на издаване) | (фамилия) |
Заключителни разпоредби
§ 21. Сроковете по чл. 19, т. 6 за действащите сертификати за сигурност на АИС или мрежи започват да текат от датата на влизане в сила на постановлението.
§ 22. Постановлението влиза в сила от деня на обнародването му в "Държавен вестник".