Държавен вестник, брой 80 от 11.X

Чл. 1. С инструкцията се определя минималното ниво на техническите и организационни мерки за защита на личните данни при тяхното получаване, обработване и съхраняване в поддържаните от администратора на лични данни Министерството на регионалното развитие и благоустройството (МРРБ) чрез Главна дирекция "Гражданска регистрация и административно обслужване" (ГД ГРАО) и нейните териториални звена (ТЗ ГРАО) регистри.

Чл. 2. Инструкцията има за цел да гарантира адекватно ниво на защита на личните данни в поддържаните регистри по чл. 3, като ги защити от случайно или незаконно унищожаване или от случайна загуба, от неправомерен и необоснован достъп, изменение или разпространение, както и от други незаконни форми на обработване.

Чл. 3. Министерството на регионалното развитие и благоустройството чрез ГД ГРАО поддържа следните регистри в електронен вид:

1. регистър на населението - Национална база данни "Население";

2. национален електронен регистър на актовете за гражданско състояние;

3. регистър на Единните граждански номера.

Чл. 4. Създаването и поддържането на регистрите по чл. 3, видът на личните данни, целите и средствата за обработване, както и получаването на данни от други институции за целите на гражданската регистрация са определени със Закона за гражданската регистрация.

Чл. 5. Поддържането на данните в регистрите по чл. 3 включва дейности, осигуряващи тяхното актуално състояние, точност, пълнота, взаимообвързаност, съхранение и пазене на хронология на промените в данните. Технологията на обработване на данните е съгласно Наредба № РД-02-20-9 от 2012 г. за функциониране на Единната система за гражданска регистрация (ДВ, бр. 43 от 2012 г.).

Чл. 6. Данните, свързани с поддържането на регистрите, се предават и изпращат между административните структури по чл. 102 от Закона за гражданската регистрация посредством служебна електронна поща, подписана и криптирана с квалифициран електронен подпис (КЕП).

Чл. 7. Данните в регистрите по чл. 3 се поддържат за целите на гражданската регистрация и не подлежат на унищожаване.

Чл. 8. (1) Въз основа на данните, съдържащи се в регистрите по чл. 3, се извършват административни услуги, свързани с предоставяне на лични данни относно гражданската регистрация, предоставяне на достъп до регистрите и издаване на удостоверение за верен ЕГН.

(2) Административните услуги по ал. 1 се предоставят при спазване разпоредбите на Закона за гражданската регистрация, Закона за защита на личните данни и Наредба № РД-02-20-9 от 2012 г. за функциониране на Единната система за гражданска регистрация.

Чл. 9. Министерството чрез Главна дирекция "ГРАО" и нейните териториални звена отговаря за поддържането на данните в регистрите по чл. 3 и се грижи за защитата им в съответствие с чл. 109 от Закона за гражданската регистрация.

Чл. 10. Ръководството, организацията и контролът по прилагането на техническите и организационни мерки за защита на личните данни се осъществява от главния директор на ГД ГРАО.

Чл. 11. За предотвратяване от неправомерно обработване на личните данни, което би довело до възникване на значителни вреди или кражба на самоличност, нивото на въздействие и защита за поддържаните регистри е "Изключително високо".

Чл. 12. За гарантиране на поверителност, цялостност и наличност на личните данни в регистрите по чл. 3 при тяхното обработване се предприемат физическа, персонална, криптографска защита и защита на информационната система и мрежи.

Чл. 13. (1) За физическата защита на личните данни се предприемат технически и организационни мерки.

(2) Организационните мерки за защита включват следното:

1. лични данни могат да се обработват във всички работни помещения;

2. за работните помещения се установява регламентиран достъп; когато не се използват от служители, работните помещения се заключват;

3. достъп на външни лица до работните помещения се разрешава само за изпълнение на служебни задачи; за времето на престой външното лице се придружава от служител;

4. работните компютърни конфигурации на служителите се разполагат в работните помещения;

5. достъпът на външни лица до компютърните конфигурации е забранен и следва да бъде възпрепятстван;

6. компютърна техника се предоставя за ремонт без устройствата, на които се съхраняват данни;

7. в ГД ГРАО сървърното и комуникационното оборудване се разполага в отделно помещение с ограничен контролиран достъп; достъпът до сървърното помещение е разрешен единствено за служители на сектор "Национална база данни", сектор "Информационна сигурност", началника на отдел "Електронна обработка на информацията" и главния директор на ГД ГРАО;

8. осъществяване на контрол по достъпа, предоставен до регистрите по чл. 3, се извършва съгласно клаузите на сключените споразумения или по ред, определен с друг нормативен акт; за осъществяване на контрола от журналите към всеки регистър се извличат данни за формиране на извадки от единните граждански номера на лицата, до личните данни на които е осъществен достъп;

9. осъществяване на контрол по отношение на обработващия данни във връзка със спазването на технологията за обработка на личните данни и технологията за изграждане на архивни копия се извършва от служители на сектор "Национална база данни".

(3) Техническите мерки за защита включват следното:

1. в ГД ГРАО и ТЗ ГРАО се организира охрана на работните помещения в рамките на охраната на цялата сграда (жива охрана) и/или СОТ; СОТ системата се активира задължително след приключване на работа;

2. в работните помещения се осигурява климатична и пожароизвестителна система; в ГД ГРАО за помещението със сървърно и комуникационно оборудване задължително се разполагат пожарогасителни средства и се осигуряват отделно климатична система, пожароизвестителна система и СОТ;

3. в ГД ГРАО контролът на достъпа през общите входове към работните помещения и помещението със сървърното и комуникационното оборудване се извършва със система с персонални чипкарти;

4. системата по т. 3 се управлява от служител на сектор "Информационна сигурност"; системата за контрол на достъпа записва в журнал всеки достъп; журналните записи се запазват за срок от минимум една година;

5. всички физически информационни носители, използвани за запис на лични данни (за технологични или други цели), се съхраняват в заключен метален шкаф в помещението със сървърно и комуникационно оборудване; контролът по използването и съхранението на носителите се извършва от началника на сектор "Национална база данни";

6. всички действия по актуализация на личните данни от служителите в ТЗ ГРАО се извършват посредством работните компютърни конфигурации чрез приложен софтуер; работният процес на всяка работна компютърна конфигурация стартира след идентификация с потребителско име и парола.

Чл. 14. За персоналната защита на личните данни се предприемат следните мерки:

1. с длъжностната характеристика на служителите в ГД ГРАО и ТЗ ГРАО е установено задължение за неразпространение на лични данни, станали известни при и по повод изпълнение на служебни задължения;

2. служителите започват обработване на лични данни след запознаване с нормативната уредба в областта на защитата на личните данни и тази инструкция;

3. в ГД ГРАО и ТЗ ГРАО периодично се организират тренировки на служителите за реакция при възникване на събития, застрашаващи сигурността на данните; за провеждането им и поддържането на информация за изпълнението им отговаря началникът на отдел "Електронна обработка на информацията";

4. забранява се споделянето на критична информация, като пароли за достъп, идентификатори и други между служителите; удостоверението за квалифициран електронен подпис не се преотстъпва или предава за ползване от други лица;

5. при възникване и установяване на инцидент веднага се докладва на главния директор на ГД ГРАО;

6. (доп. - ДВ, бр. 80 от 2016 г., в сила от 11.10.2016 г.) в случаите на необходимост от възстановяване на данни вследствие настъпили аварии, произшествия или бедствия процедурата по чл. 19 се изпълнява след съгласуване с главния директор на ГД ГРАО.

Чл. 15. За защита на информационната система и мрежи се предприемат следните мерки:

1. по отношение на регистрите по чл. 3:

а) сървърното оборудване е със система за откриване и корекции на грешки в оперативната памет;

б) подсистемите за съхранение на данни са със защита срещу отпадане на някое от изграждащите ги устройства - постоянна памет;

в) непрекъсваемите токозахранващи устройства (UPS) са за цялото оборудване, необходимо за правилната работа на регистрите (компютърни конфигурации, сървъри и комуникационни средства);

2. мрежовите интерфейси за хардуерна настройка на сървърното и комуникационното оборудване се обособяват в отделен мрежови сегмент;

3. сървърите, предназначени да предоставят услуги на потребители през интернет, се обособяват в отделен мрежови сегмент;

4. сървърът за електронна поща сканира всички писма с антивирусен софтуер, за който е активирано автоматично обновяване на антивирусните дефиниции;

5. връзките между мрежовите сегменти помежду им и с интернет се контролират със специализиран софтуер - защитна стена;

6. за всички сървърни и работни компютърни конфигурации се използват операционни системи и приложен софтуер, за които е осигурена поддръжка от производителя с обновления по отношение на сигурността;

7. журналните файлове на сървърите в ГД ГРАО се проверяват на всеки седем дни от служител на сектор "Информационна сигурност";

8. на всяка работна компютърна конфигурация се осигурява антивирусен софтуер с включено автоматично обновяване и постоянно сканиране;

9. всяка работна компютърна конфигурация включва по възможност предпоследна или последна Desktop операционна система Windows;

10. забранено е включването на неслужебни компютърни и комуникационни устройства в компютърните мрежи;

11. включването на мобилни компютри в компютърните мрежи се извършва след разрешение от служител на сектор "Информационна сигурност";

12. забранено е използването на лични носители на данни в ГД ГРАО и ТЗ ГРАО;

13. за пренос на данни във връзка с изпълнението на конкретни дейности се използват оптични носители;

14. използваните оптични носители се унищожават в специализирани машини за унищожаване на документи;

15. работните компютърни конфигурации, както и цялата инфраструктура, включително и достъпът до интернет, се използват единствено за служебни цели;

16. достъпът до интернет на ТЗ ГРАО се осъществява при следните ограничения: разрешени протоколи навън (от ТЗ ГРАО) - ping, ftp, http (80), https (443), DNS (udp, tcp 53) pop3 (110), smtp (25), pops (995), imap (143), imaps (993), smtps (465), icq (5190);

17. (доп. - ДВ, бр. 80 от 2016 г., в сила от 11.10.2016 г.) в ГД ГРАО и ТЗ ГРАО се провежда редовна профилактика на компютърните и комуникационните устройства от началника на сектор "Информационна сигурност";

18. пренасянето на лични данни през незащитени мрежи (например интернет) се извършва в криптирано състояние;

19. пренасянето на лични данни чрез електронна поща се извършва при спазване на правилата за защитено предаване на лични данни по електронен път съгласно приложение № 1;

20. използването на работните компютърни конфигурации се извършва след идентификация с потребителско име и парола, изисквани от съответната операционна система;

21. паролите за идентификация и достъп до регистрите по чл. 3 се създават, променят и предоставят съгласно утвърдени вътрешни правила на ГД ГРАО;

22. паролата за достъп е персонална; в случай на компрометиране на парола тя се подменя с нова; забранява се друго предоставяне и записване на парола;

23. поддържането в актуално състояние на личните данни се осъществява чрез пакетна и директна актуализация;

24. пакетната актуализация на регистрите по чл. 3 се извършва съгласно утвърдени вътрешни правила на ГД ГРАО;

25. директната актуализация на РН - НБД "Население" се извършва от служителите в ТЗ ГРАО и/или оторизираните длъжностни лица от общинските администрации;

26. достъпът и директната актуализация на РН - НБД "Население" се извършва чрез уеббазиран приложен софтуер през интернет, като достъпът се автентифицира с КЕП и/или потребителско име и парола;

27. достъпът и актуализацията на личните данни, поддържани от ТЗ ГРАО, се извършват чрез приложен софтуер (програмен продукт Регионална база данни "Население") след автентификация с потребителско име и парола;

28. промените на личните данни в регистрите по чл. 3, извън актуализациите по т. 23, се записват в дневник на промените и се подписват от началника на сектор "Национална база данни";

29. за целите на оторизация на потребителите от общинските администрации, които въвеждат актуализационни документи, и/или за целите на предоставяне на достъп до регистрите по чл. 3 се поддържа като минимум информация относно идентичността на потребителя и дата на предоставяне и прекратяване на потребителските права в таблицата на потребителите;

30. (доп. - ДВ, бр. 80 от 2016 г., в сила от 11.10.2016 г.) всеки достъп до регистрите по чл. 3 се регистрира автоматизирано в журнал за съответния регистър; в журнала за всеки достъп като минимум се регистрира информация относно: потребителя, време (дата и час) на достъпа и информация, която позволява да се идентифицират данните, до които е осъществен достъп;

31. информацията по т. 30 се съхранява най-малко две години;

32. правата и ролите на потребителите се определят съобразно преките им задължения и/или съобразно условията на достъпа, регламентирани със споразумение или по ред в друг нормативен акт;

33. предоставянето на данни във вид на списъци във връзка с изпълнението на служебни задължения на служителите на ГД ГРАО и ТЗ ГРАО се извършва след попълнена и одобрена писмена заявка съгласно приложение № 2;

34. непосредствен достъп до личните данни в регистрите по чл. 3 чрез системни програмни средства е разрешен за служителите на отдел "Електронна обработка на информацията" и обработващия данни;

35. данните в регистрите по чл. 3 се архивират съгласно утвърдени вътрешни правила на ГД ГРАО;

36. данните в регистъра на населението, поддържан от ТЗ ГРАО, се архивират всяка седмица от ръководителя на съответното ТЗ ГРАО;

37. всеки месец архивно копие на регистъра на населението, поддържан от ТЗ ГРАО, се записва на оптичен носител и се съхранява от ръководителя на ТЗ ГРАО за период от две години;

38. данните върху оптичните носители се записват в криптиран вид чрез специализиран софтуер;

39. при възникване на нарушения от ГД ГРАО и/или ТЗ ГРАО се сформира екип за действие според ситуацията.

Чл. 16. Мерките по криптографската защита включват система за разпределение и управление на криптогрфски ключове в рамките на КЕП.

Чл. 17. (1) (Изм. - ДВ, бр. 80 от 2016 г., в сила от 11.10.2016 г.) Архивни копия на регистрите по чл. 3 се съхраняват на минимум три различни физически места - в сградата на ГД ГРАО (в заключен метален шкаф), в банкова касета и в ТЗ ГРАО, отдалечено минимум на 100 км от ГД ГРАО (в заключен метален шкаф).

(2) (Изм. - ДВ, бр. 80 от 2016 г., в сила от 11.10.2016 г.) Служител от ГД ГРАО и/или ТЗ ГРАО пренася архивните копия до определеното по ал. 1 ТЗ ГРАО. Когато архивните копия се предават по електронен път, същите се криптират.

(3) (Нова - ДВ, бр. 80 от 2016 г., в сила от 11.10.2016 г.) Създаването на архивни копия и времевите интервали за тяхното формиране е задължение на обработващия данни, регламентирано с договор. Технологията за изграждане на архивните копия се определя с вътрешните правила по чл. 15, т. 35.

(4) (Нова - ДВ, бр. 80 от 2016 г., в сила от 11.10.2016 г.) След изтичане на времевите интервали за изграждане на архивни копия носителите се използват отново за създаване на нови архивни копия.

Чл. 18. Главният директор на ГД ГРАО и/или ръководителят на съответното ТЗ ГРАО предприема превантивни действия за защита на личните данни, както и действия при настъпване на форсмажорни събития, а именно:

1. при аварии, независещи от ГД ГРАО и/или ТЗ ГРАО, се предприемат действия в зависимост от конкретната ситуация;

2. при пожари се предприема незабавно гасене със собствени средства (пожарогасители) и уведомяване на съответните органи;

3. при наводнения се предприемат действия по ограничаване на разпространението, както и се изпомпва вода или загребва с подръчни средства.

Чл. 19. (1) (Предишен текст на чл. 19, изм. - ДВ, бр. 80 от 2016 г., в сила от 11.10.2016 г.) За случаите, когато настъпили аварии, произшествия или бедствия са засегнали данните в поддържаните регистри по чл. 3, същите се възстановяват от архивни копия.

(2) (Нова - ДВ, бр. 80 от 2016 г., в сила от 11.10.2016 г.) Служителите от отдел "Електронна обработка на информацията" (ЕОИ) правят преглед на последствията от възникналото събитие и обема на засегнатите данни.

(3) (Нова - ДВ, бр. 80 от 2016 г., в сила от 11.10.2016 г.) В зависимост от засегнатите данни се възстановяват техните най-скорошни архивни копия, възстановяват се промените и трансакциите, извършени след снемане на архивните копия, посредством журнала на трансакциите им (transaction log).

(4) (Нова - ДВ, бр. 80 от 2016 г., в сила от 11.10.2016 г.) Началникът на отдел ЕОИ информира главния директор на ГД ГРАО относно последствията от възникналото събитие и предлага действия за възстановяване на данните. Възстановяването на данните се съгласува с главния директор.

(5) (Нова - ДВ, бр. 80 от 2016 г., в сила от 11.10.2016 г.) Данните се възстановяват самостоятелно от служители на отдел ЕОИ или съвместно с обработващия данни.

(6) (Нова - ДВ, бр. 80 от 2016 г., в сила от 11.10.2016 г.) Провеждат се тестове за работоспособността на регистрите, поддържани в електронен вид, и се извършва проверка дали възстановените данни са актуални.

(7) (Нова - ДВ, бр. 80 от 2016 г., в сила от 11.10.2016 г.) Началникът на отдел ЕОИ изготвя доклад до главния директор, в който описва дата, час, име и длъжност на лицата, възстановили данните, извършените действия по възстановяване на данните, описание на възстановените данни и резултати от тестването на системата и актуалността на възстановените данни.

(8) (Нова - ДВ, бр. 80 от 2016 г., в сила от 11.10.2016 г.) В случай на непредвидени обстоятелства, възпрепятстващи успешното възстановяване на данните, главният директор на ГД ГРАО информира ресорния заместник-министър до края на следващия работен ден.

Чл. 20. Предоставянето на данни, на достъп или обмен се извършва при спазване разпоредбата на чл. 106 от Закона за гражданската регистрация, условията за допустимост на обработването на лични данни в чл. 4 от Закона за защита на личните данни и/или по ред, определен в друг нормативен акт.

Чл. 21. Редът за предоставяне на данни, достъп или обмен е утвърден с Наредба № РД-02-20-9 от 2012 г. за функциониране на Единната система за гражданска регистрация.