НАРЕДБА ЗА СИСТЕМАТА ОТ МЕРКИ, СПОСОБИ И СРЕДСТВА ЗА ФИЗИЧЕСКАТА СИГУРНОСТ НА КЛАСИФИЦИРАНАТА ИНФОРМАЦИЯ И ЗА УСЛОВИЯТА И РЕДА ЗА ТЯХНОТО ИЗПОЛЗВАНЕ
Това е резюме на текстовете от нормативния акт, целящо лесно и бързо запознаване на потребителя с нормите в него.
Виж оригиналния текст на документа
Чл. 1
Наредбата определя системата от мерки, способи и средства за физическа сигурност на класифицираната информация, както и условията и реда за тяхното използване. Тя включва общи и конкретни мерки, оценка на заплахите за физическата сигурност чрез анализ на риска, както и изисквания и стандарти за физическа сигурност.
Чл. 2
Член 2 от наредбата посочва, че системата от мерки за физическа сигурност е интегрална част от общите изисквания за защита на класифицираната информация. Това означава, че физическата сигурност е важен аспект от цялостната защита на чувствителната информация.
Чл. 3
Наредбата определя мерките, способите и средствата за физическата сигурност на класифицираната информация. Член 3 описва два основни способа за предотвратяване на заплахите: анализ на риска, който оценява заплахите за физическата сигурност, и план за осигуряване на физическата сигурност. Целта на тези способи е да се създадат ефективни методи за противодействие на заплахите чрез защитни мерки.
Чл. 4
Средствата за физическа сигурност на класифицираната информация се сертифицират според нивото на класификация и изискванията на наредбата. Списъкът с одобрените средства се утвърдява от Държавната комисия по сигурността на информацията (ДКСИ).
Чл. 5
Ръководителите на организационните единици носят отговорност за прилагането и спазването на мерките, способите и средствата, осигуряващи физическата сигурност на класифицираната информация.
Чл. 6
Наредбата определя изискванията за физическата сигурност на класифицираната информация, които се прилагат за всички сгради, помещения и съоръжения, където се създава, обработва, съхранява и предоставя такава информация. Ръководителите на организационните единици, в сътрудничество със служителите по сигурността, са отговорни за определянето на необходимата система от мерки за физическа сигурност, базирана на посочените способи.
Чл. 7
Разпоредбите на наредбата се отнасят и за чуждестранна класифицирана информация, предоставена от друга държава или международна организация, освен ако международен договор, по който България е страна, не предвижда друго.
Чл. 8
Наредбата определя мерките за физическа сигурност на класифицираната информация, които са разделени на общи, конкретни и специални. Общите мерки включват организационни действия за изграждане на зони за сигурност. Конкретните мерки включват физически и технически средства, като защита на периметъра, осветление, алармени системи, контрол на достъпа и защита срещу подслушване и визуално наблюдение. Специалните мерки се прилагат за материални носители, които не могат да се транспортират по общия ред. Целите на мерките включват предотвратяване на нерегламентиран достъп, установяване на действия, поставящи под съмнение надеждността на служителите, и своевременно реагиране на нарушения.
Чл. 9
Чл. 9 от Наредбата определя задълженията на ръководителите на организационните единици да установяват зони за сигурност за класифицирана информация, в съответствие с чл. 74 от Закона за защита на класифицираната информация. Зоните за сигурност се определят на базата на нивото на класификация и начина на работа с информацията. Има два вида зони за сигурност: клас I и клас II.
Чл. 10
Зона за сигурност клас I е специализирано пространство, където се създава и обработва информация с ниво на класификация 'Поверително' или по-високо. Входът в зоната е строго контролиран и разрешен само за лица с необходимите разрешения. Зоната трябва да има ясно определен охраняван периметър, система за контрол на достъпа и определени нива на класификация на информацията, която се съхранява.
Чл. 11
Чл. 11 определя условията за зона за сигурност клас II, в която се обработва информация с ниво на класификация "Поверително" или по-високо. Зоната трябва да има ясно определен охраняван периметър с контрол на входовете и изходите, система за контрол на физическия достъп, която позволява влизане без придружител само на упълномощени лица, и осигуряване на придружител за всички останали, за да се предотврати нерегламентиран достъп.
Чл. 12
Наредбата определя мерките за сигурност на класифицираната информация в зависимост от нивото на класификация. За информация с ниво "Строго секретно" се изискват строг контрол и охрана, включително сертифицирани контейнери и непрекъсната охрана. За "Секретно" ниво се допускат по-облекчени мерки, а за "Поверително" - основни мерки без допълнителни защити. Информацията "За служебно ползване" се съхранява в заключващи се шкафове.
Чл. 13
Чл. 13 от наредбата определя стандартите за изграждане на открита зона за съхраняване на класифицирана информация. Стените, подовете и таваните трябва да са с непрекъсната конструкция и сертифицирани. Вратите трябва да бъдат от стабилен материал и осигурени с сертифицирани брави. Отдушниците и тръбите с размери над 620 кв. см трябва да бъдат защитени. Прозорците, свързани с класифицирана информация, трябва да бъдат затъмнени или защитени, а прозорците на приземните етажи да бъдат подсилени срещу взлом.
Чл. 14
Чл. 14 от наредбата определя условията за създаване на регистратури за класифицирана информация в зони за сигурност клас I и II. Регистратурите трябва да са разположени в отделни помещения с определени изисквания за сигурност, като метални решетки, паравани и свързаност с контролен център. Освен това, около зоните за сигурност трябва да има административна зона с контрол на достъпа и пропускателен режим. В административната зона може да се работи само с класифицирана информация с ниво на класификация "За служебно ползване".
Чл. 15
Чл. 15 определя периметъра като ясно обозначена граница на зоните за сигурност, които изискват защита. По периметъра се изграждат физически бариери, които могат да бъдат допълнително оборудвани с технически средства, за да се предотврати нерегламентирания достъп. Мерките за физическа и техническа охрана зависят от нивото и обема на класифицираната информация, съхранявана в защитената зона.
Чл. 16
Чл. 16 от Наредба за системата от мерки, способи и средства за физическата сигурност на класифицираната информация посочва, че защитното осветление в зоните за сигурност трябва да осигурява ефективно наблюдение от звеното за сигурност и охрана, както и от техническите средства за защита. Изискванията за защитното осветление се определят съгласно чл. 77, ал. 3 от Закона за защита на класифицираната информация (ЗЗКИ).
Чл. 17
Член 17 от Наредбата предвижда използването на алармени системи против проникване (АСПП) за повишаване на защитата на периметъра в зоните за сигурност. Тези системи сигнализират при опит за нерегламентиран достъп и осигуряват време за реакция на силите за реагиране. Използването им трябва да бъде съгласувано с плана за физическа сигурност на обекта.
Чл. 18
Чл. 18 от Наредбата описва мерките за контрол на физическия достъп до обекти, свързани с класифицирана информация. Контролът се осъществява чрез различни средства, включително електронни и електромеханични системи, както и чрез служители от охраната. Освен това, предвижда се избирателна проверка на багаж и лични вещи при влизане и излизане, с цел предотвратяване на неправомерно внасяне или изнасяне на класифицирани материали. Проверката може да бъде задължителна и да се обозначава с надпис.
Чл. 19
Служителите от звеното за сигурност и охрана прилагат мерки за предотвратяване на нерегламентиран достъп до класифицирана информация. Дейността им се регламентира с утвърдена инструкция от ръководителя на организационната единица. Назначават се лица с разрешение за достъп до ниво 'Поверително' или по-високо. Задълженията и честотата на обхода се определят в зависимост от анализа на риска и конкретните мерки за сигурност.
Чл. 20
В зависимост от плана за физическа сигурност в организационната единица могат да се създават сили за реагиране, състоящи се от минимум двама служители. Те могат да бъдат от звената за сигурност и охрана или други служители от организационната единица. Силите за реагиране имат задача да забавят и ограничават нарушителя при навлизане в зоните за сигурност, до предаването му на компетентните органи, без да отслабват защитата в останалите места.
Чл. 21
Чл. 21 от наредбата предвижда изграждане на система за видеонаблюдение с цел повишаване на физическата защита в обектите. Тази система може да бъде самостоятелна или свързана с контрола на достъпа и алармената система против проникване. Освен това, системата за видеонаблюдение изисква създаването на контролен център и е част от общата защитна система.
Чл. 22
Чл. 22 определя изискванията за изграждане на контролен център в организационните единици с функциониращи технически средства за физическа сигурност. Контролният център е оборудвано помещение, което приема, визуализира и архивира информация от техническите мерки за сигурност и служи за управление на реагиращите сили. Глава пета от наредбата се фокусира върху контрола на ключовете и шифровите комбинации на защитените каси.
Чл. 23
Чл. 23 от Наредбата определя мерките за защита на касите, съхраняващи класифицирана информация. Защитените каси трябва да се затварят с ключове, а за "Строго секретно" ниво - и с шифрови комбинации. Всеки шкаф има два ключа, единият от които е резервен. Изнасянето на ключове извън зоните за сигурност е забранено. Шифровите комбинации се определят от служителя, отговорен за касата, и се записват писмено в запечатан плик, който се предоставя на дежурната част. Резервните ключове и шифровите комбинации се използват само при бедствия. Всички ключове и комбинации трябва да се съхраняват под защита, равна на защитата на класифицираната информация. Писменото възпроизвеждане на шифровата комбинация е забранено, освен в определени случаи.
Чл. 24
Чл. 24 от Наредбата определя правото на служителите, техните преки ръководители и ръководителя на организационната единица да знаят шифровите комбинации на защитените каси, при спазване на изискванията на ЗЗКИ. Шифровите комбинации трябва да се променят при: първоначално използване, смяна на лицата, нерегламентиран достъп или опит за такъв, и поне веднъж на 12 месеца. Глава шеста описва специални мерки за физическа сигурност на класифицирана информация, съдържаща се в материали, които не могат да бъдат транспортирани по общия ред.
Чл. 25
Чл. 25 от Наредбата определя специални мерки за физическа сигурност на класифицирана информация в материални носители, които не могат да бъдат пренасяни по общия ред. Мерките включват подготовка на носителя за транспортиране, поставяне в непрозрачни контейнери и надеждно запечатване, за да се предотврати нерегламентиран достъп.
Чл. 26
Чл. 26 от Наредбата задължава ръководителя на организационната единица изпращач да изготви план за транспортиране на материален носител на класифицирана информация. Планът трябва да включва анализ на риска, определяне на особеностите на носителя, целта на физическата защита, уведомяване на получателя и компетентната служба за сигурност, избор на вид транспорт, основен и резервен маршрут, време за транспортиране, мерки за физическа сигурност, отговорни органи и контрол на изпълнението. Материалните носители трябва да се пренасят с необходимата техническа документация.
Чл. 27
Чл. 27 определя мерките за физическа сигурност при пренасяне на материални носители с класифицирана информация. Пренасянето трябва да се извършва по кратък маршрут и бърз начин. Има два основни метода на пренасяне: етапно, при което носителят се предава между различни звена за сигурност, и директно, когато същото звено извършва пренасянето от начало до край. Звената за сигурност могат да осъществяват и двупосочно пренасяне.
Чл. 28
Служителите, отговорни за сигурността и охраната на материали с класифицирана информация, трябва да имат разрешение за достъп, което е равно или по-високо от нивото на класификация на материала, когато той се пренася (транспортира).
Чл. 29
Ръководителите на организационни единици, отговорни за транспортирането на материали с класифицирана информация, трябва да приемат инструкция, която регламентира действията по изработването на плана за сигурност, съгласно чл. 26.
Чл. 30
Чл. 30 от Наредбата дефинира "анализ на риска" като непрекъснат аналитично-информационен процес, който включва събиране на данни, анализ и оценка за физическата защита на класифицираната информация. Целта на анализа е да установи заплахи или вреди, произтичащи от нерегламентиран достъп, опити за такъв достъп, терористични действия или саботаж, както и да оцени влиянието и последиците от тях.
Чл. 31
Чл. 31 от Наредбата определя, че анализът на риска за класифицираната информация трябва да се извършва на базата на четири основни критерия: 1) нивото на класификация на информацията; 2) обема на класифицираната информация и вида на нейните носители; 3) броя на издадените разрешения за достъп на служителите, съобразно принципа 'необходимост да се знае'; 4) начина на съхраняване на информацията.
Чл. 32
Чл. 32 описва процеса по анализ на риска, който включва: определяне на обекта, оценка на застрашеността и уязвимостта, анализ на съществуващите мерки за защита, изграждане и усъвършенстване на мерките, оценка на стойността на мерките, избор на вариант за защита, описание на остатъчната заплаха и периодични проверки и преразглеждане.
Чл. 33
Чл. 33 от наредбата предвижда, че служителят по сигурността на информацията трябва да разработи план за физическа сигурност след анализ на риска. Планът трябва да отчита особеностите на обекта и да включва целите на физическата защита, параметрите на обектите, зоните за сигурност, конкретните мерки за защита, отговорните органи, периодични проверки и контрол на изпълнението. Той трябва да спазва принципа "защита в дълбочина", който включва определяне на охраняваната територия, регистриране на нерегламентиран достъп и забавяне на нарушителя до задържането му.
Чл. 34
Зони клас I и II, в които се обработва класифицирана информация с ниво "Поверително" или по-високо, трябва да бъдат защитени от подслушване и наблюдение. За целта се прилагат мерки за физическа защита и контрол на достъпа, основаващи се на анализ на риска, извършен от служител по сигурността и технически специалисти. Различават се пасивни и активни опити за подслушване, като пасивните включват нерегламентиран достъп чрез незащитени комуникации, а активните - чрез жични или радиомикрофони.
Чл. 35
Чл. 35 от Наредбата за системата от мерки, способи и средства за физическата сигурност на класифицираната информация определя мерките за защита срещу пасивен опит. Тези мерки включват: 1. Намаляване и изолиране на електромагнитните излъчвания; 2. Криптиране на информацията; 3. Звукоизолиране на помещенията в зони клас I или клас II, където се създава, обработва, съхранява или предоставя класифицирана информация.
Чл. 36
Чл. 36 от Наредбата за системата от мерки за физическа сигурност на класифицираната информация предвижда мерки за защита срещу активно подслушване. Тези мерки включват техническа и физическа проверка на конструкцията, мебелировката, офис оборудването и комуникационните средства. Проверката е задължителна и се извършва първоначално и периодично на всеки 6 месеца от сертифициран и обучен персонал, както и от технически специалисти в защитата срещу подслушване.
Чл. 37
Чл. 37 от Наредбата описва мерките за физическа защита срещу наблюдение на класифицирана информация. Физическата защита включва изграждане на прегради, които да предотвратят пряко наблюдение, независимо от наличието на технически средства. Примерите за физически прегради са затъмнени стъкла, щори, пердета и паравани.
Чл. 38
Наредбата определя мерките за физическа защита на класифицираната информация с ниво на класификация "Поверително" и по-високо. За целта се създават технически осигурени зони, в които се прилагат мерки против подслушване и наблюдение. Допълнителни мерки за сигурност също могат да бъдат внедрени в тези зони.
Чл. 39
Чл. 39 от Наредбата за системата от мерки, способи и средства за физическата сигурност на класифицираната информация определя допълнителни мерки, които включват контрол на физическия достъп, извършване на технически и физически проверки за наличие на средства за подслушване, както и проверка за наличие на подслушвателни устройства в обзавеждането и оборудването преди внасянето им в зоната.
Чл. 40
Член 40 от Наредбата за системата от мерки за физическа сигурност на класифицираната информация определя основните аспекти на контрола на физическия достъп. Той включва надеждна защита срещу нерегламентиран достъп чрез технически и физически средства, регистриране на всички лица, които пребивават в зоната, и водене на списък с вида, серийните и инвентарните номера на обзавеждането и оборудването в технически осигурената зона, които се внасят или изнасят.
Чл. 41
Чл. 41 определя условията и реда за извършване на проверки на физическата сигурност на класифицираната информация. Проверките се осъществяват при първоначално използване, преди и след срещи с класифицирана информация, при опити за нерегламентиран достъп, периодично на всеки 6 месеца и след ремонтни дейности. Резултатите от проверките се документират в протокол, който описва проверените помещения, оборудването и получените резултати.
Чл. 42
Чл. 42 от наредбата предвижда забрани за технически осигурените зони, включително инсталирането на комуникационни устройства, носенето на мобилни телефони, използването на записваща апаратура и електронноизчислителна техника, която не отговаря на изискванията. Изключение се допуска за обезопасен жичен телефон, при условие че е снабден с устройство за прекъсване на връзката по време на конфиденциален разговор.
Чл. 43
Чл. 43 от наредбата предвижда установяване на наблюдение около технически осигурената зона, както и периодични проверки за наличие на средства за подслушване и наблюдение. Заключителните разпоредби указват, че наредбата е приета на основание чл. 78 от Закона за защита на класифицираната информация и определят отговорностите за нейното изпълнение на различни държавни органи и ръководители на служби.
§2
Изпълнението на наредбата е възложено на председателя на ДКСИ, министъра на вътрешните работи, министъра на отбраната, ръководителите на службите за сигурност и обществен ред, както и на ръководителите на организационни единици, определени в чл. 20, ал. 1 и § 1, т. 3 от допълнителните разпоредби на ЗЗКИ.
