НАРЕДБА ЗА УСЛОВИЯТА И РЕДА ЗА ОПРЕДЕЛЯНЕ НА МЕРКИТЕ ЗА ЗАЩИТА НА ИНФОРМАЦИОННИТЕ И КОМУНИКАЦИОННИТЕ СИСТЕМИ НА СТРАТЕГИЧЕСКИТЕ ОБЕКТИ ОТ ЗНАЧЕНИЕ ЗА НАЦИОНАЛНАТА СИГУРНОСТ И ЗА ОСЪЩЕСТВЯВАНЕТО НА КОНТРОЛ
Това е резюме на текстовете от нормативния акт, целящо лесно и бързо запознаване на потребителя с нормите в него.
Виж оригиналния текст на документа
Чл. 1
Наредбата урежда условията и реда за определяне на мерките за защита на информационните и комуникационните системи на стратегическите обекти, които са важни за националната сигурност. Освен това, тя определя условията и реда за осъществяване на контрол относно изпълнението на тези мерки.
Чл. 2
Наредбата регламентира условията и реда за установяване на мерки за защита на информационните и комуникационните системи на стратегическите обекти, които са от значение за националната сигурност. Член 2 уточнява, че наредбата не се прилага за системите, използвани за работа с класифицирана информация. Глава втора се фокусира върху определянето на информационни и комуникационни системи с критично значение за дейността на стратегическите обекти.
Чл. 3
Ръководителите на стратегическите обекти и възлагащите стратегически дейности определят системите с критично значение след изготвяне на оценка и план за управление на рисковете. Системите с критично значение са тези, които са необходими за стратегическата дейност или защитата на обекта. При нарушаване на функциите им може да настъпи затруднение или преустановяване на дейността и заплаха за националната сигурност. Ръководителите утвърдиха вътрешни правила за сигурност и определят отговорни служители.
Чл. 4
Чл. 4 от Наредба за условията и реда за определяне на мерките за защита на информационните и комуникационните системи на стратегическите обекти изисква ръководителите на стратегически обекти да уведомят председателя на ДАНС в 30-дневен срок след определяне на система с критично значение. Уведомлението трябва да съдържа идентификация на системата, общо описание, информация за управление на сигурността и контактни лица. Председателят на ДАНС може да поиска допълнителна информация, която трябва да бъде предоставена в срок до 30 дни. При промяна на обстоятелствата, уведомлението трябва да бъде направено незабавно.
Чл. 5
Наредбата определя условията и реда за идентифициране на мерките за защита на информационните и комуникационните системи, свързани със стратегическите обекти, важни за националната сигурност. Член 5 указва, че системите с критично значение се вписват в регистър, който е поддържан от ДАНС и не е публичен.
Чл. 6
Чл. 6 от Наредбата определя задълженията на ръководителите на стратегическите обекти за установяване на мерки за защита на информационните системи. Мерките трябва да са административни, организационни, технически и криптографски, и да отразяват спецификата на работните процеси и технологичните особености на системите. Те трябва да са в съответствие с международните стандарти за киберсигурност и да предвиждат ограничения за работа в реално време. Включват се мерки за логическо разделяне на системата, осигуряване на киберсигурност за нови устройства, изграждане на сигурни комуникационни протоколи и механизми за удостоверяване на комуникацията. Освен това, мерките трябва да минимизират каскадните ефекти от прекъсвания и да предвиждат защита срещу зловредни атаки.
Чл. 7
Ръководителите на стратегическите обекти и възлагащите стратегически дейности носят отговорност за прилагането и финансирането на мерките за защита на информационните и комуникационните системи. Те трябва да изготвят описание на мерките в срок от 30 дни и да уведомяват председателя на ДАНС за всяка промяна в мерките.
Чл. 8
Чл. 8 от наредбата предвижда, че органите на ДАНС могат да оказват методическа помощ на ръководителите на стратегическите обекти при определянето на мерките за защита на информационните и комуникационните системи. Те могат също така да предоставят информационни материали, да участват в обучения и мероприятия, насочени към защита на критичните информационни системи и повишаване на способностите за защита от инциденти в информационната сигурност.
Чл. 9
Чл. 9 от Наредбата задължава ръководителите на стратегическите обекти да извършват годишен анализ на ефикасността на мерките за защита на информационните и комуникационните системи. Резултатите от анализа трябва да бъдат предоставени на ДАНС до 30 март всяка година. Освен това, анализите следва да се съхраняват минимум пет години от датата на тяхното изготвяне.
Чл. 10
Чл. 10 от наредбата предвижда въвеждане на системи за откриване на аномална и злонамерена активност като превантивна мярка за защита на информационните и комуникационни системи на стратегическите обекти. Тези системи обхващат всички крайни устройства, мобилни устройства, сървъри и мрежови елементи. Осигурява се обмен на данни с центъра, посочен в Закона за киберсигурност.
Чл. 11
Контролът за изпълнение на мерките за защита на информационните и комуникационните системи на стратегическите обекти, важни за националната сигурност, се извършва чрез планови и инцидентни проверки от служители на ДАНС. Заповедта на председателя на агенцията определя служителите, които ще извършват проверките и тези, които имат правомощия да съставят актове за административни нарушения.
Чл. 12
Чл. 12 от наредбата описва условията за извършване на проверки на стратегическите обекти, свързани с националната сигурност. Проверките могат да бъдат планови, извършвани по годишен план, или инцидентни, при определени обстоятелства като сигнали от граждани, информация от органи на властта, или при откритие на аномалии. Проверките се назначават с заповед на председателя на ДАНС, която съдържа детайли относно проверявания обект, обхвата на проверката и членовете на комисията.
Чл. 13
Служителите на ДАНС имат право на достъп до обекти и системи, свързани с националната сигурност, да изискват документи и обяснения от ръководители и служители, да получават информация от трети лица, да привлекат експерти за специализирани проверки, да дават задължителни предписания и да налагат административни наказания при нарушения.
Чл. 14
Чл. 14 от наредбата предвижда, че виновните лица за неизпълнение на задълженията по наредбата носят отговорност съгласно чл. 133, ал. 1 и 3 от Закона за ДАНС. Преходните разпоредби указват, че мерките от глава трета трябва да се въведат в срок от 12 месеца след определянето им, с уведомление до председателя на ДАНС. Наредбата е издадена на основание чл. 40а, ал. 4 от Закона за ДАНС.
