ПОСТАНОВЛЕНИЕ № 280 ОТ 12 ДЕКЕМВРИ 2013 Г. ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА НАРЕДБАТА ЗА ЗАДЪЛЖИТЕЛНИТЕ ОБЩИ УСЛОВИЯ ЗА СИГУРНОСТ НА АВТОМАТИЗИРАНИТЕ ИНФОРМАЦИОННИ СИСТЕМИ ИЛИ МРЕЖИ, В КОИТО СЕ СЪЗДАВА, ОБРАБОТВА, СЪХРАНЯВА И ПРЕНАСЯ КЛАСИФИЦИРАНА ИНФОРМАЦИЯ, ПРИЕТА С ПОСТАНОВЛЕНИЕ № 99 НА МИНИСТЕРСКИЯ СЪВЕТ ОТ 2003 Г. (ДВ, БР. 46 ОТ 2003 Г.)
В сила от 17.12.2013 г.
Обн. ДВ. бр. от 17 Декември 2013г.
МИНИСТЕРСКИЯТ СЪВЕТ
ПОСТАНОВИ:
§ 1. В се създава т. 10:
"10. отнема и прекратява действието на сертификати за сигурност на АИС или мрежи при условията, посочени в глава шеста, раздел V от Закона за защита на класифицираната информация (ЗЗКИ)."
§ 2. В се правят следните изменения и допълнения:
1. В ал. 1 думите "или възлага на назначени служители от същото звено функции по чл. 5" се заменят с "или възлага функции по чл. 5 на служител от същото звено, а при липса на такова звено - на служител от организационната единица" и се създава изречение второ:
"При необходимост може да бъдат определени повече от един служител по сигурността на АИС или мрежи."
2. Създават се ал. 3 - 5:
"(3) В органите на държавната власт и на местното самоуправление, в които са обособени повече от една организационна единица, служителят по сигурността на АИС или мрежи може да е от състава на друга организационна единица в рамките на съответния орган.
(4) Функции на служител по сигурността на АИС или мрежи в случаите по ал. 3 се възлагат със заповед на ръководителя на ведомството или органа на местното самоуправление по предложение на ръководителя на организационната единица, в която ще се изпълняват функциите на служител по сигурността на АИС или мрежи, съгласувано с ръководителя на организационната единица, в състава на която е служителят.
(5) Задълженията на служителя по сигурността на АИС или мрежи в случаите по ал. 3 се определят с акта по чл. 22, ал. 1."
§ 3. В се правят следните изменения и допълнения:
1. Досегашният текст става ал. 1.
2. Създават се ал. 2 - 4:
"(2) В органите на държавната власт и на местното самоуправление, в които са обособени повече от една организационна единица, администраторът по сигурността на АИС или мрежата може да е от състава на друга организационна единица в рамките на съответния орган.
(3) Функции на администратор по сигурността на АИС или мрежата в случаите по ал. 2 се възлагат със заповед на ръководителя на ведомството или на органа на местното самоуправление по предложение на ръководителя на организационната единица, в която ще се изпълняват функциите на администратор по сигурността на АИС или мрежата, съгласувано с ръководителя на организационната единица, в състава на която е служителят.
(4) Задълженията на администратора по сигурността на АИС или мрежата в случаите по ал. 3 се определят с акта по чл. 22, ал. 1."
§ 4. В накрая се поставя запетая и се добавя "като не могат да се изпълняват от едно и също лице".
§ 5. В след думите "АИС или мрежа" се добавя "ръководителят на" и думата "наричана" се заменя с "наричан".
§ 6. В след думите "по ал. 1 се посочват" се добавя "срокове за предоставяне на документите по сигурността по чл. 29, съобразени с етапите и сроковете за изграждане на АИС или мрежата" и се поставя запетая.
§ 7. В думата "приложението" се заменя с "приложение № 1".
§ 8. В се изменя така:
"6. срок на валидност на сертификата:
a) "Строго секретно" - 3 години;
б) "Секретно" - 4 години;
в) "Поверително" - 5 години;
г) "За служебно ползване" - без срок;".
§ 9. В думите "и ново" се заличават.
§ 10. В се създава изречение второ:
"В органите на държавната власт и на местното самоуправление, в които са обособени повече от една организационна единица, вместо споразумение може да се издаде заповед на ръководителя на ведомството или на органа на местното самоуправление."
§ 11. се изменя така:
"Чл. 28. (1) Органът по акредитиране на сигурността на АИС или мрежи:
1. прави проверка на изпълнението на мерките за сигурност, свързани с промените в специфичните изисквания за сигурност и в процедурите за сигурност;
2. утвърждава промените в специфичните изисквания за сигурност и в процедурите за сигурност;
3. изготвя отчет за допълнителното акредитиране.
(2) Проверките по ал. 1, т. 1 се извършват от комисията по чл. 16, ал. 2. При необходимост може да бъдат привличани специалисти по видовете сигурност.
(3) Проверките по ал. 1, т. 1 може да не бъдат извършвани за АИС или мрежи, в които се създава, обработва, съхранява или пренася класифицирана информация, представляваща служебна тайна.
(4) Отчетът по ал. 1, т. 3 е неразделна част от сертификата и съдържа:
1. общо описание на промените;
2. основни изводи от оценката на сигурността и проверката на изпълнението на мерките за сигурност в АИС или мрежата;
3. изменения в условията за допълнително акредитиране, ако има такива."
§ 12. В след думите "техническата среда" се поставя запетая и се добавя "а в случаите по чл. 77 - резултатите от изготвения анализ на риска и предложените заместващи мерки".
§ 13. В глава пета се изменя така:
"Комуникационна и криптографска сигурност, защита от паразитни електромагнитни излъчвания, които могат да доведат до компрометиране на сигурността на АИС или мрежата"
§ 14. В се създават ал. 6 и 7:
"(6) Най-малко 6 месеца преди изтичане срока на валидност на издадения сертификат за сигурност на АИС или мрежата в случаите, когато е необходимо да се продължи експлоатирането й, заявителят подава до ОАС на АИС или мрежи заявление за ново акредитиране по реда на глава трета, раздел I.
(7) В случаите по ал. 6, когато не са настъпили промени в глобалната, локалната и електронната среда за сигурност на АИС или мрежата, проверката по чл. 16, ал. 1, т. 2 може да не бъде извършвана."
§ 15. В глава пета се изменя така:
"Възможност за заместване на мерките за компютърна сигурност, комуникационна сигурност и защита от паразитни електромагнитни излъчвания, които могат да доведат до компрометиране на сигурността на АИС или мрежата"
§ 16. В се правят следните изменения и допълнения:
1. В ал. 1 след думите "компютърна сигурност" се поставя запетая и се добавя "комуникационна сигурност и защита от паразитни електромагнитни излъчвания, които могат да доведат до компрометиране на сигурността на АИС или мрежата" и се поставя запетая.
2. Създава се нова ал. 2:
"(2) Заместващите мерки се предоставят на ОАС от заявителя за утвърждаване като неразделна част от СИС след направен анализ на риска в рамките на процедурите по акредитиране или допълнително акредитиране."
3. Досегашната ал. 2 става ал. 3.
§ 17. Създава се :
"Глава шеста
РЕД ЗА ОТНЕМАНЕ И ПРЕКРАТЯВАНЕ НА СЕРТИФИКАТИ ЗА СИГУРНОСТ НА АИС ИЛИ МРЕЖИ
Чл. 78
(2) Органът по акредитиране на сигурността на АИС или мрежи уведомява съответната организационна единица, като изпраща екземпляр от отнемането на сертификата за сигурност на АИС или мрежата.
(3) След получаване на акта по отнемане на сертификата ръководителят на организационната единица незабавно предприема мерки за прекратяване на дейността по създаване, обработване, съхраняване и пренасяне на класифицирана информация по тази АИС или мрежа.
Чл. 79
(2) При наличие на основание по чл. 94б, т. 2, 3 и 4 ЗЗКИ за прекратяване действието на издаден сертификат по чл. 14, т. 2 от ЗЗКИ:
1. заявителят подава до ОАС заявление за прекратяване на издадения сертификат, изготвено от ОРЕ и съгласувано със служителя по сигурността на информацията, в което се посочват основанието за прекратяване действието на сертификата и предприетите мерки за защита на класифицираната информация, обработвана в АИС или мрежата;
2. в случаите на промяна нивото на класификация по чл. 94б, т. 2 ЗЗКИ заявителят подава и заявление за започване на процедура по акредитиране по чл. 13;
3. органът по акредитиране на сигурността на АИС или мрежи уведомява органа по прекия контрол за подаденото заявление за прекратяване действието на сертификата с изключение на случаите, в които основание за прекратяване е промяна на нивото на класификация към по-високо;
4. органът по прекия контрол извършва проверка и уведомява ОАС за резултатите от нея.
(3) Въз основа на данните от заявлението и/или резултатите от извършената проверка по ал. 2, т. 4 ОАС взема решение за прекратяване действието на сертификата за сигурност с акт по образец съгласно приложение № 3.
(4) Органът по акредитиране на сигурността на АИС или мрежи уведомява заявителя, като изпраща екземпляр от акта за прекратяване действието на сертификата за сигурност.
(5) В случаите по ал. 2, т. 2, когато нивото на класификация на АИС или мрежата се променя към по-ниско и не са настъпили промени в глобалната, локалната и електронната среда за сигурност на АИС или мрежата, проверката по чл. 16, ал. 1, т. 2 не се извършва."
§ 18. В от допълнителната разпоредба се създава т. 25:
"25. "Администратор на АИС или мрежи" е лице, изпълняващо функциите по системно, приложно, мрежово или друго администриране в системата или мрежата."
§ 19. се изменя така:
"Приложение № 1 към чл. 18, ал. 1"
§ 20. Създават се и:
"
Array
Приложение № 3 към чл. 79, ал. 1
Array
§ 21. Сроковете по за действащите сертификати за сигурност на АИС или мрежи започват да текат от датата на влизане в сила на постановлението.
§ 22. Постановлението влиза в сила от деня на обнародването му в "Държавен вестник".