Виж оригиналния текст на документа
Наредбата определя задължителните общи условия за сигурност на комуникационните и информационните системи (КИС), които са необходими за обработване и обмен на класифицирана информация в електронна форма. Включва условия за акредитиране на КИС и общи изисквания за сигурност в различни области, като физическа, персонална, документална, комуникационна, криптографска сигурност, контрамерки по TEMPEST, компютърна сигурност и сигурност при свързване.
Държавната комисия по сигурността на информацията (ДКСИ) осъществява общ контрол върху защитата на класифицираната информация в комуникационните и информационните системи (КИС) и процеса на акредитиране на тези системи.
Наредбата определя Специализирана дирекция "Информационна сигурност" на Държавна агенция "Национална сигурност" като орган по акредитиране на сигурността на комуникационните и информационни системи (КИС). Този орган има задължения като даване на препоръки и указания за сигурността на КИС, утвърждаване на документи по сигурността, извършване на оценки и издаване на сертификати за сигурност. Освен това, той координира дейности по защита от електромагнитни излъчвания, провежда обучения за служители, води регистър на сертифицираните КИС и определя условия за акредитиране.
Член 4 от Наредбата определя процедурите за назначаване на служител по сигурността на комуникационните и информационните системи (КИС) в организационните единици. Ръководителят на единицата, по предложение на служителя по сигурността на информацията, назначава или възлага функции на служител по сигурността на КИС. Служителят трябва да има достъп до класифицирана информация, а в органите на държавната власт е възможно той да бъде от друга организационна единица. Задълженията му се определят с акт, а след назначаването е задължително да премине обучение в областта на защитата на класифицираната информация.
Служителят по сигурността на КИС е отговорен за организацията и контрола на сигурността на комуникационните и информационните системи (КИС) в съответната организационна единица. Той координира изготвянето и съгласуването на документите по сигурността, организира обучения и реагира при инциденти, свързани с компрометиране на сигурността. При съмнения за нарушения, служителят уведомява отговорните лица, предприема мерки за ограничаване на вредите и докладва за резултатите от действията си.
Чл. 6 от Наредбата определя задълженията на ръководителя на организационната единица относно назначаването на ръководител и състав на Органа по развитие и експлоатация на КИС (ОРЕ). ОРЕ отговаря за разработването на изисквания за сигурност, изготвянето на документи, подбор и тестване на средства за сигурност, осигуряване на акредитация, определяне на мерки за сигурност, обучение на служители, прилагане на мерки за сигурност и анализ на инциденти. Възможно е в една организационна единица да има повече от един ОРЕ, а при наличие на множество единици в държавната власт, може да се създаде единен ОРЕ.
Чл. 7 от Наредбата определя реда за назначаване на администратор по сигурността на комуникационните информационни системи (КИС). Съгласно текста, назначаването става със заповед на ръководителя на организационната единица, по предложение на отговорния за сигурността на информацията (ОРЕ). В случаите, когато в органите на държавната власт има повече от една организационна единица, администраторът може да бъде от друга единица, като назначаването става с заповед на компетентния орган. Задълженията на администратора се определят с акт по чл. 25, ал. 1.
Наредбата определя, че администраторът по сигурността на комуникационните и информационните системи (КИС) трябва да бъде от състава на организационната единица, свързана с КИС. Може да има повече от един администратор, отговорен за различни части на КИС, но един от тях се назначава за администратор на цялата система. Задълженията на администратора по сигурността и администратора на КИС трябва да бъдат ясно разграничени и не могат да бъдат изпълнявани от едно и също лице. Освен това, администраторът по сигурността трябва да има достъп до най-високото ниво на класифицирана информация в КИС. При наличие на няколко организационни единици, всяка от тях назначава свой администратор по сигурността, а администраторът на цялата КИС се определя от организатора на системата.
Член 9 от Наредбата за сигурността на комуникационните и информационните системи (КИС) определя задълженията на администратора по сигурността на КИС. Той участва в изготвянето и актуализирането на процедурите за сигурност, изготвя експлоатационни документи, изпълнява възложените процедури, информира потребителите, предоставя достъп до ресурси, осъществява контрол върху мерките за сигурност, управлява одитни записи, участва в анализа на компрометации, може да изпълнява функции по криптографска сигурност, уведомява за съмнения за компрометиране и провежда обучения. Функциите могат да бъдат разпределени между няколко администратори.
Чл. 10 определя условията за назначаване на администратори на комуникационни и информационни системи (КИС). Администраторът трябва да има възложени функции по администриране, разрешение за достъп до най-високото ниво на класификация на информацията и да е преминал обучение по сигурността на КИС. Функциите и правата могат да бъдат разпределени между повече от един администратор, ако е необходимо.
Администраторът на КИС е отговорен за изпълнението на задълженията, описани в експлоатационните документи по сигурността на системата. Той трябва да следва указанията на администратора по сигурността, свързани със сигурността на КИС, и да уведомява за случаи или съмнения за компрометиране на сигурността.
Потребител в КИС е лице, което: 1. има разрешение за достъп до най-високото ниво на класификация на информацията; 2. е преминало обучение по сигурността на КИС; 3. има предоставени права за достъп до ресурсите на КИС.
Чл. 13 от Наредбата за сигурността на комуникационните и информационните системи (КИС) определя задълженията на потребителите. Те трябва да следват указанията в експлоатационните документи за сигурност и да изпълняват указанията на администратора по сигурността. Освен това, потребителите са задължени да уведомяват администратора за случаи или съмнения относно компрометиране на сигурността на системите.
Процедурата за акредитиране на комуникационните и информационните системи (КИС) стартира с етапа на проектиране. По време на акредитацията, Органът за регулиране на електронните средства (ОРЕ) работи съвместно с Органа за акредитация на системите (ОАС), за да уточни изискванията за сигурност, свързани с изграждането на КИС.
Чл. 15 от Наредбата за сигурността на комуникационните и информационните системи предвижда, че ръководителят на организационната единица (заявителят) подава заявление до ОАС за започване на процедура по акредитиране на КИС. Заявлението се изготвя от ОРЕ и се съгласува със служителя по сигурността на информацията. В него се включват общи сведения за КИС, информация за връзки с други системи, данни за ръководителя на ОРЕ и администратора по сигурността, както и етапите и сроковете за изграждане на системата.
ОАС е длъжна да вземе решение за откриване на процедура по акредитиране в срок до 15 работни дни след получаване на заявлението. Заявителят получава писмено уведомление, в което са посочени сроковете за предоставяне на необходимите документи за сигурността, условията, реда и етапите за акредитиране, съобразени с етапите за изграждане на комуникационната и информационната система.
Чл. 17 от Наредбата за сигурността на комуникационните и информационните системи предвижда, че заявителят, в съответствие с етапите за акредитиране, трябва да предостави на ОАС следните документи: 1. Документи по сигурността, съгласно чл. 32; 2. Документи, удостоверяващи изпълнението на мерки за сигурност; 3. Сертификати за сигурност на средства и подсистеми, ако съществуват.
Член 18 от Наредбата описва процеса на комплексна оценка на сигурността, извършвана от органа по акредитиране на сигурността (ОАС). Оценката включва проверка на документи, изпълнение на мерки за сигурност и изготвяне на протокол за резултатите. ОАС утвърджава документите по чл. 32, а проверките могат да бъдат предшествани от утвърдяване на документи. Проверките се извършват от комисия с председател от ОАС и членове от ОАС и организационната единица, с възможност за привличане на специалисти. Някои проверки могат да не се прилагат за системи с класифицирана информация. При валиден сертификат, новите мерки за сигурност могат да се реализират преди изтичането му с разрешение от ОАС. Комисията се назначава със съвместна заповед на ръководителите на ОАС и организационната единица.
Член 19 от Наредбата предвижда, че при установяване на несъответствия по време на проверките, определени в член 18, алинея 1, точки 1 и 2, ОАС (Орган за административен контрол) има право да изиска от заявителя да отстрани тези несъответствия.
При положителна комплексна оценка на сигурността, Органът за оценка на сигурността (ОАС) издава сертификат за сигурност на комуникационните и информационните системи (КИС). Сертификатът може да бъде издаден и за обособени части на КИС, съгласно определените правила в наредбата.
Сертификатът за сигурност на комуникационните и информационните системи (КИС) включва идентификация на сертификата, правно основание за издаването му, идентификация на КИС и на заявителя, най-високото ниво на класификация на информацията, срок на валидност, дата и място на издаването, както и подпис и печат. Сроковете на валидност варират в зависимост от класификацията на информацията - от 3 до 6 години.
Чл. 22 от Наредбата за сигурността на комуникационните и информационните системи предвижда изготвяне на сертификационен отчет след оценка по чл. 18 ОАС. Този отчет е неразделна част от сертификата и включва общо описание на КИС, заключения от оценката, опис на документите за сигурност, информация за изменения на КИС, които изискват допълнително акредитиране, и условия за повторна оценка на контрамерките по TEMPEST. Сертификационният отчет се класифицира съгласно ЗЗКИ и ППЗЗКИ.
Чл. 23 от Наредбата предвижда възможността ОАС да издаде сертификат за сигурност на комуникационни и информационни системи (КИС) или на тяхна обособена част, преди завършването на акредитационния процес, ако е необходимо за важни държавни задачи. Сертификатът може да бъде издаден за срок до една година и се издава след подаване на искане от заявителя, което трябва да съдържа информация за задачите, нивото на класификация на информацията и искания период. След получаване на искането, ОАС изпраща общи изисквания за сигурност на КИС, а ръководителят на ОЕ назначава комисия за проверка на изпълнението на тези изисквания.
Чл. 24 от Наредбата определя процеса на оценка на сигурността от органа по акредитиране. Той извършва комплексна оценка, като проверява документите на организационната единица и резултатите от предишни проверки. Задължително условие за положителна оценка е предоставянето на информация от организационната единица. Сертификатът за сигурност се издава след положителна оценка и съгласуване от ДКСИ, и съдържа информация за нивото на класификация, условията за сигурност, условия за окончателно акредитиране и срок на валидност.
Чл. 25 определя условията за споразумение между организационни единици, когато комуникационната и информационната система (КИС) обхваща повече от една единица. Споразумението уточнява организатора на КИС, границите и отговорностите на всяка единица, както и процеса на акредитиране. В държавната власт, вместо споразумение, може да се издаде заповед. Организаторът координира изграждането на системата за сигурност, акредитирането и контрола на мерките за сигурност. Всяка единица е отговорна за акредитацията на своята част от КИС. Някои организационни единици не сключват споразумение, а следват специфични правила за електронна комуникация.
Член 26 от Наредбата за сигурността на комуникационните и информационните системи предвижда, че за всяка комуникационна и информационна система (КИС) в процедура по акредитиране, ОАС поддържа акредитационно дело. Това дело включва: 1. Преписката по акредитирането и допълнителните акредитирания; 2. Сертификат по чл. 20 и сертификационен отчет по чл. 22; 3. Отчети за допълнителните акредитирания по чл. 31, ал. 1, т. 3; 4. Документи по сигурността по чл. 32.
Чл. 27 от Наредбата за сигурността на комуникационните и информационните системи предвижда, че органът по акредитиране на сигурността води регистър на сертифицираните комуникационни и информационни системи (КИС). В регистъра се вписват данни от сертификата, регистрационни номера на заявления и документи, свързани с акредитацията и сигурността, както и информация за междусистемни връзки. Данни от регистъра се предоставят на ДКСИ по писмено искане в срок до 15 работни дни.
Член 28 от Наредбата за сигурността на комуникационните и информационните системи определя процедурата за допълнително акредитиране на комуникационни и информационни системи (КИС), когато е необходимо да се извършат изменения. Ръководителят на организационната единица подава заявление до ОАС, което се изготвя от отговорния за експлоатацията (ОРЕ) и се съгласува със служителя по сигурността на информацията. В заявлението трябва да се посочат описание на измененията, очакваното влияние върху сигурността на КИС, етапите и сроковете за изпълнение, както и информация относно междусистемни връзки, ако е приложимо.
Член 29 от Наредбата предвижда, че в срок от 15 работни дни, Органът за акредитация (ОАС) взема решение относно откриването на процедура за допълнително акредитиране и уведомява заявителя писмено. В уведомлението се уточняват условията, редът и етапите за допълнителното акредитиране.
Член 30 от Наредбата за сигурността на комуникационните и информационните системи регламентира, че за извършване на оценка на измененията и влиянието им върху сигурността на КИС, заявителят трябва да представи на ОАС: 1. измененията в специфичните изисквания за сигурност и процедурите за сигурност на КИС; 2. сертификати за сигурност на механизми, средства и подсистеми, свързани с промените, ако са налични.
Чл. 31 определя задълженията на органа по акредитиране на сигурността на комуникационните и информационните системи (КИС). Той извършва проверки на мерките за сигурност, утвърдителни промени в специфичните изисквания и изготвя отчети за допълнителното акредитиране. Проверки се извършват от назначена комисия, като в определени случаи (например, за КИС с класифицирана информация) те могат да не се провеждат. Отчетът, свързан с акредитацията, включва описание на промените, изводи от оценката на сигурността и изменения в условията за допълнително акредитиране.
Чл. 32 от Наредбата определя документите по сигурността, необходими за акредитирането на комуникационни и информационни системи (КИС). Те включват специфични изисквания за сигурност (СИС) и процедури за сигурност, изготвени на основата на тези изисквания. В случай на определени условия, ОАС може да изиска допълнителни СИС и/или процедури за сигурност за обособените части на КИС. Всички документи по сигурността се класифицират съгласно ЗЗКИ и ППЗЗКИ.
Чл. 33 от Наредбата предвижда изготвяне на специфични изисквания за сигурност (СИС) за всяка комуникационна и информационна система (КИС). Тези изисквания се формулират в ранния етап на проектирането и се развиват по време на разработката. Организациите за реализация на експлоатацията (ОРЕ) взаимодействат с организациите за административна сигурност (ОАС) за постигане на съгласие относно мерките за сигурност. Завършените специфични изисквания включват описание на КИС, средата за сигурност, анализ на риска, мерки за контрол на достъпа, идентификация, отчетност, интегритет, достъпност, комуникационна сигурност, управление на сигурността, мерки за критични ситуации и мерки при прекратяване на експлоатацията.
Чл. 34 от Наредбата за сигурността на комуникационните и информационните системи описва процеса на анализ на риска, който включва идентифициране на рисковете, оценяване на всеки риск, определяне на допълнителни мерки за сигурност, оценка на остатъчния риск и управление на риска.
Чл. 35 определя процеса на идентифициране и оценка на рисковете в комуникационните и информационните системи (КИС). Идентифицирането включва установяване на заплахи и уязвимости, а оценката на рисковете включва определяне на вероятността за осъществяване на заплахите и последствията от тях. Целта е да се определи необходимостта от допълнителни мерки за сигурност. Остатъчният риск е този, който остава след приложението на мерките. Управлението на риска е непрекъснат процес, който осигурява конфиденциалност, достъпност и интегритет на информацията.
Чл. 36 от Наредбата за сигурността на комуникационните и информационните системи предвижда, че анализ на риска трябва да се извършва от екип от специалисти, които се занимават с различни видове сигурност. При необходимост, могат да бъдат включвани и представители на проектантите на системите.
Чл. 37 от Наредбата за сигурността на комуникационните и информационните системи определя четири възможни резултата от анализа на рисковете: 1. Елиминиране на риска чрез пълно прилагане на мерки за сигурност; 2. Предотвратяване на загубата на ресурси, като се прилагат мерки за минимизиране на загубите; 3. Ограничаване на загубите до приемливо ниво чрез мерки за сигурност; 4. Приемане на риска, когато загубата е малка или разходите за предотвратяване са прекомерни.
Чл. 38 от Наредбата за сигурността на комуникационните и информационните системи предвижда, че документирането на анализа на риска трябва да се извършва в специален документ, определен в чл. 32, ал. 1, т. 1. Степента на детайлизация на това документиране се уточнява в чл. 33, ал. 3 и включва задължителни елементи като описание на методологията за анализа на риска и оценка на всеки идентифициран риск.
Чл. 39 от Наредбата предвижда, че във всички етапи на жизнения цикъл на комуникационните и информационните системи (КИС) е необходимо да се изготвят и изменят процедури за сигурност, основаващи се на извършения анализ на риска. Това подчертава важността на анализа на риска за осигуряване на сигурността на КИС.
Член 40 от Наредбата за сигурността на комуникационните и информационните системи определя, че процедурите за сигурност трябва да съдържат подробно описание на реда и отговорностите, свързани с изпълнението на дейностите при прилагането на мерките за сигурност от системите за информация и комуникация.
Чл. 41 от Наредбата определя основните раздели на процедурите за сигурност, които включват организация на сигурността, персонална, физическа, документална, компютърна и комуникационна сигурност, контрамерки по TEMPEST и действия при критични ситуации. При междусистемна връзка се изисква определяне на ред и отговорности за обмен на информация при инциденти със сигурността. Конкретните параметри и формата на обмена се уточняват в споразумение или заповед.
Чл. 42 от Наредбата определя, че сигурността на комуникационните и информационни системи (КИС) включва прилагането на балансирана система от мерки за сигурност. Тези мерки целят да осигурят конфиденциалност, интегритет и достъпност на информацията в КИС. Раздел II от наредбата се фокусира върху физическата сигурност.
Чл. 43 определя изискванията за зоните, в които се разполагат ресурсите на комуникационните и информационните системи (КИС), предназначени за класифицирана информация. Зоните за информация с ниво 'Поверително' и по-високо трябва да бъдат определени като зони за сигурност. Зоните за информация 'За служебно ползване' също трябва да бъдат определени като зони за сигурност или административни зони, с изключение на определени случаи. Критичното оборудване на КИС също трябва да бъде разположено в зони за сигурност. Всички тези зони трябва да бъдат защитени със съответни мерки за физическа сигурност, съобразени с най-високото ниво на класификация на информацията.
Чл. 44 от Наредбата за сигурността на комуникационните и информационните системи предвижда вземането на допълнителни мерки за защита на критичните места, определени чрез анализ на риска. Тези мерки включват контрол на достъпа, системи за наблюдение и недопускане на присъствието само на един служител в критичните места.
Потребителите на комуникационни и информационни системи (КИС) трябва да имат разрешение за достъп до най-високото ниво на класификация на информацията, с която работят. Служителите, ангажирани в развитието, управлението или сигурността на КИС, както и тези, участващи в проектирането и изграждането на мерки за сигурност на системата, също трябва да притежават такова разрешение.
Член 46 от Наредба за сигурността на комуникационните и информационните системи задължава всички лица, посочени в член 45, да преминат обучение по сигурността на конкретната КИС. Обучението се организира от органите за регулиране и се провежда за различни категории служители, включително администратори на сигурността и потребители. Успешното завършване на обучението е условие за допускане до работа в конкретната КИС.
Чл. 47 от Наредбата за сигурността на комуникационните и информационните системи предвижда, че правомощията на определени лица трябва да бъдат организирани по начин, който предотвратява възможността едно лице да има пълен контрол или познания за важните елементи от сигурността на конкретната комуникационна и информационна система (КИС).
Член 48 от Наредбата за сигурността на комуникационните и информационните системи описва изискванията за идентификация, маркировка и контрол на документи, съдържащи класифицирана информация. Всички документи трябва да бъдат ясно маркирани, за да посочват нивото на класификация. Методите за идентифициране и контрол се определят в специфични документи за сигурност на съответната система. Освен това, тези документи не се регистрират в регистратурата по ППЗЗКИ.
Чл. 49 от Наредбата за сигурността на комуникационните и информационните системи регламентира, че извеждането на документи, съдържащи класифицирана информация от сертифицирани комуникационни и информационни системи, трябва да се извършва в съответствие с изискванията на чл. 137 от ППЗЗКИ и в определените зони по чл. 43, ал. 1 и 2.
Преносът на документи, които съдържат класифицирана информация, между комуникационни и информационни системи (КИС) е разрешен само в случай, че приемащата система е сертифицирана за ниво на класификация, което е равно или по-високо от нивото на класификация на пренасяните документи.
Чл. 51 от Наредбата за сигурността на комуникационните и информационните системи предвижда, че материалните носители за многократен запис на класифицирана информация трябва да бъдат маркирани и регистрирани в регистратурата. Те се съхраняват в съответствие с нивото на класификация и подлежат на контрол и унищожаване по установените процедури. Също така, съхраняването и контролът на тези носители трябва да следват утвърдените процедури за сигурност на КИС.
Материалите и информацията, записани на хартиен носител, които осигуряват достъп до комуникационни и информационни системи (КИС), трябва да се класифицират с ниво на сигурност, което съответства на най-високото ниво на класификация на информацията, до която дават достъп. Тези материали се унищожават по специфичен ред, определен в документите за сигурност на конкретната КИС, а не по общите правила за унищожаване.
Преносимите компютърни устройства, които съдържат класифицирана информация, трябва да бъдат маркирани като такива и се считат за част от комуникационните и информационните системи. Пренасянето на тези устройства извън защитените зони се извършва по установените правила на ППЗЗКИ.
Член 54 от Наредбата определя комуникационната сигурност като система от мерки, насочени към защита на класифицираната информация от нерегламентиран достъп по време на нейното пренасяне. Тази система включва криптографска защита, контрамерки по TEMPEST и защита на информацията в зоните за сигурност.
Чл. 55 от Наредбата за сигурността на комуникационните и информационните системи определя изискванията за комуникационни средства, които пренасят класифицирана информация. Те трябва да осигурят надеждна идентификация и автентификация на участниците преди преноса на информацията, да гарантират конфиденциалността, интегритета и достъпността на информацията, както и да потвърдят получаването на информацията. Освен това, тези средства трябва да се разполагат в определени зони за сигурност, съгласно предписанията на ЗЗКИ.
Въведени са ограничения за безжичен пренос на класифицирана информация в комуникационните и информационни системи (КИС). Такъв пренос е разрешен единствено ако информацията е защитена с криптографски средства, които са одобрени съгласно наредбата по чл. 85 от Закона за защита на класифицираната информация (ЗЗКИ).
Член 57 от Наредбата за сигурността на комуникационните и информационните системи предвижда, че за защита на класифицирана информация в КИС могат да се използват само криптографски средства, които са одобрени в съответствие с наредбата по чл. 85 от Закона за защита на класифицираната информация (ЗЗКИ).
Чл. 58 от Наредбата за сигурността на комуникационните и информационните системи регламентира пренасянето на класифицирана информация по комуникационни системи извън защитените зони. Такова пренасяне е допустимо само ако информацията е защитена с одобрени криптографски средства. Освен това, средата за разпространение на сигнала за информация с ниво 'Поверително' и 'Секретно' може да бъде разположена в административна зона при определени условия. Обработената информация, получена от класифицирана информация с одобрени средства, не се счита за класифицирана по смисъла на закона.
Чл. 59 от наредбата предвижда, че комуникационните и информационните системи, предназначени за класифицирана информация с ниво "Поверително" и по-високо, трябва да бъдат осигурени с контрамерки по TEMPEST. Тези контрамерки трябва да отговарят на най-високото ниво на класификация на информацията в системата. Контрамерките включват оценка на защитеността на работните помещения, спазване на изискванията за електромагнитни излъчвания, правилно разполагане и инсталиране на оборудването, както и допълнителни мерки в зависимост от спецификата на конкретната система.
Чл. 60 определя компютърната сигурност като набор от мерки, насочени към осигуряване на конфиденциалност, интегритет и достъпност на класифицираната информация в комуникационните и информационните системи. Тези мерки се реализират чрез техническите и програмни средства на компютърните системи, както и с помощта на специализирани средства.
Чл. 61 от Наредбата за сигурността на комуникационните и информационните системи определя минималните изисквания за компютърна сигурност, които включват: 1) идентификация и автентификация на потребителя преди действия в КИС; 2) контрол на достъпа на база идентификация и принадлежност към групи, с права предоставяни от администратора; 3) непрекъснат запис на събития, свързани със сигурността; 4) защита на одитните записи от неоторизиран достъп; 5) обработка на обекти, така че предишното им съдържание да не може да се установи; 6) актуална защита от вредни програмни средства. За осигуряване на тези изисквания се реализират програмни и технически механизми, които подлежат на конфигурационен контрол.
Комуникационните и информационните системи могат да се експлоатират в три режима за сигурност: 1) 'С общ достъп', 2) 'С общо ниво' и 3) 'С много нива'.
Член 63 от Наредбата за сигурността на комуникационните и информационните системи определя условията за работа в режим за сигурност 'С общ достъп'. Всички потребители имат разрешение за достъп до най-високото ниво на класификация на информацията и са упълномощени да работят с цялата класифицирана информация. Компютърната сигурност се осигурява с минимални изисквания, а правата за достъп се предоставят само от администратора по сигурността на КИС. Цялата информация в КИС при този режим се защитава като информация с най-високо ниво на класификация, освен при наличие на механизъм за разпознаване на нивото на класификация.
Чл. 64 от Наредбата определя правилата за работа на комуникационни и информационни системи (КИС) в режим за сигурност "С общо ниво". В този режим всички потребители имат разрешение за достъп до най-високото ниво на класификация на информацията, а достъпът до класифицирана информация става по принципа "необходимост да се знае". Компютърната сигурност се осигурява с минимални изисквания, а цялата информация в системата се защитава като с най-високо ниво на класификация, освен ако не е налице механизъм за разпознаване на нивото на класификация.
Член 65 от Наредбата за сигурността на комуникационните и информационните системи (КИС) установява изисквания за работа в режим за сигурност 'С много нива'. Потребителите нямат едновременно достъп до класифицирана информация с най-високо ниво на класификация, а достъпът се осъществява на принципа 'необходимост да се знае'. Компютърната сигурност се осигурява чрез минимални изисквания и задължителен контрол на достъпа. Контролът включва присвояване на атрибути за сигурност на потребителите и обектите, упълномощаване на администратора за управление на атрибутите, и защита на интегритета на атрибутите за сигурност.
Чл. 66 от наредбата регламентира експлоатацията и развитието на сертифицирани комуникационни и информационни системи (КИС). Всяка промяна в сигурността на КИС трябва да бъде оценена и контролирана от съответните органи и администратори. Промените, които изискват изменение на системата или процедурите за сигурност, трябва да бъдат утвърдени от ОАС, преди да бъдат приложени. При необходимост от ново акредитиране, заявителят трябва да подаде заявление най-малко 6 месеца преди изтичането на текущия сертификат. Ако не са настъпили промени в мерките за сигурност, проверката може да бъде пропусната.
Чл. 67 от Наредба за сигурността на комуникационните и информационните системи (КИС) предвижда мерки за сигурност по време на експлоатацията и развитието на КИС. Включва проверки на материални носители за наличие на вредни програмни средства, резервиране на системна и одитна информация, инсталиране на одобрени елементи от оторизирани служители, внедряване на технически и програмни средства след проверка за сигурност, организиране на сервизна дейност, ремонт на криптографски средства, повторна оценка на контрамерките по TEMPEST и забрана за използване на лични носители на информация.
Според Чл. 68 от Наредбата за сигурността на комуникационните и информационните системи, класифицирана информация с ниво на класификация "Строго секретно" трябва да бъде създавана, обработвана, съхранявана и пренасяна в комуникационни информационни системи (КИС), които са изградени в зона за сигурност. Тази зона трябва да бъде защитена от компрометиращи електромагнитни излъчвания.
Класифицираната информация с ниво "Строго секретно" не може да бъде пренасяна по комуникационни системи извън определените зони, посочени в чл. 68 от наредбата.
Класифицирана информация с ниво на секретност "Строго секретно" не може да бъде обработвана на преносими компютърни устройства, за да се осигури безопасността и защитата на данните.
Комуникационните и информационните системи, които обработват информация с ниво на класификация "Строго секретно", трябва да функционират в режим на сигурност с общо ниво.
Член 72 от Наредбата за сигурността на комуникационните и информационните системи забранява междусистемната връзка на комуникационни и информационни системи, които съдържат класифицирана информация с ниво "Строго секретно". Това означава, че системи, обработващи такъв вид информация, не могат да бъдат свързани помежду си.
Член 73 от Наредбата предвижда, че материалните носители за многократен запис на класифицирана информация с ниво на класификация "Строго секретно" трябва да се регистрират в отделен регистър. Тези носители не могат да бъдат ремонтирани, нито да бъде променяно нивото им на класификация; вместо това, те следва да се унищожават съгласно процедурата, описана в чл. 141 от ППЗЗКИ.
Член 74 от Наредбата определя условията, при които мерки за компютърна и комуникационна сигурност могат да бъдат заместени с други мерки от различни видове сигурност. В случай на прекомерни разходи или технологична невъзможност, заместващите мерки трябва да бъдат съгласувани с ОАС и предоставени от заявителя след анализ на риска. При заместването е необходимо да се спазват принципите за пълно реализиране и запазване на качеството и нивото на заместваната мярка.
Чл. 75 от Наредбата за сигурността на комуникационните и информационните системи определя мерките за защита от нерегламентиран достъп до класифицирана информация при свързване на системи. Другите системи, с които може да се осъществява междусистемна връзка, включват сертифицирани системи за работа с класифицирана информация, информационни системи от затворен тип и системи с публичен достъп, като интернет.
Ръководителите на организационните единици са отговорни за вземането на решение относно необходимостта от междусистемна връзка. Това решение трябва да се основава на оценка на специфичните рискове за сигурността на системата, произтичащи от тази връзка.
Чл. 77 от Наредбата за сигурността на комуникационните и информационните системи предвижда, че за всяка междусистемна връзка на КИС с други системи се сключва споразумение между ръководителите на организационни единици. В държавните органи с повече от една организационна единица, вместо споразумение, може да се издаде заповед. При връзка на КИС, отговорни за една единица, се издава заповед на ръководителя. За КИС, работа с класифицирана информация с ниво
Чл. 78 определя минималните изисквания, които трябва да бъдат включени в споразумението или заповедта по чл. 77 относно сигурността на комуникационните и информационните системи. Тези изисквания включват: границите на системите, лицата, тип информация, нивото на класификация, изисквания за конфиденциалност и интегритет, разпределение на отговорностите, реда за уведомяване при инциденти, съществуващи връзки с други системи, уведомяване при нови връзки, прекратяване на експлоатацията, параметри за съвместимост и формат на обменяната информация при инциденти. Споразумението или заповедта се предоставя на ОАС в съответствие с акредитационните етапи.
Член 79 от Наредбата за сигурността на комуникационните и информационните системи предвижда, че за всяка комуникационна и информационна система (КИС), която участва в междусистемна връзка, е необходимо да се планират и внедряват механизми за защита на нейната граница. Това осигурява защита и сигурност на системата в контекста на свързаност с други системи.
Чл. 80 от Наредбата за сигурността на комуникационните и информационните системи описва основните механизми за защита на границата на информационните системи. Те включват принципа на минималност, предоставяйки само необходимите услуги и информация; принципа на най-малко привилегии, който ограничава привилегиите до необходимото; блокиране на ненужни дейности и информационни потоци; принципа на защита в дълбочина, който осигурява многостепенна защита; и механизъм за предотвратяване на пренос на информация с по-висока класификация към системи с по-ниска класификация.
Чл. 81 от Наредбата описва компонентите за защита на границата на комуникационните и информационните системи (КИС). Според ал. 1, тези компоненти могат да бъдат програмни или технически средства, които реализират механизми за защита. Реализацията на механизма може да изисква комбинация от различни компоненти, а един компонент може да участва в множество механизми. Ал. 2 уточнява, че устройствата за защита на границата са специализирани компоненти, инсталирани на границите на КИС, като примери за тях са защитни стени, устройства за откриване на проникване и регулатори на информационни потоци.
Чл. 82 от Наредбата за сигурността на комуникационните и информационните системи определя основните изисквания за осигуряване на сигурност при междусистемна връзка. Те включват: идентификация и автентификация на потребители и услуги; контрол на достъпа до класифицирана информация; осигуряване на конфиденциалност, интегритет и достъпност на информацията; автентичност на информацията; възможност за установяване на действия, свързани със сигурността; непрекъснатост на услугите за сигурност; защита от вредни програмни средства; времево синхронизирани записи на събития; защита на одитните записи; и задействане на блокировки при неуспех на защитата.
Член 83 от Наредбата за сигурността на комуникационните и информационните системи stipulates that access to the management of all border protection components must be subject to reliable identification and authentication.
Чл. 84 от Наредбата задължава контролът на механизмите за защита на междусистемната връзка да включва възлагане на отговорности, обучение на персонала, периодично тестване, документиране на проверките, конфигурационен контрол и непрекъснато управление на риска.
Чл. 85 от Наредбата за сигурността на комуникационните и информационните системи описва процедурата по планиране и одобряване на механизмите за защита на границата, която се извършва в контекста на акредитацията на всяка комуникационна и информационна система (КИС), участваща в междусистемна връзка. В етапа на планиране, ОРЕ взаимодейства с ОАС за уточняване на изискванията за сигурност и извършва подбор на подходящи механизми за защита, отчитайки анализа на риска.
Чл. 86 от наредбата изисква от ОРЕ да изпрати до ОАС подробна информация относно механизмите за защита на границата на комуникационните и информационните системи. Това включва описание на архитектурата, формати на данни, компоненти за защита, настройки на работа и процедури за сигнализация при неизпълнение на защитни механизми.
Чл. 87 от Наредбата определя процеса на одобряване на механизми за защита на границата от ОАС. В него се включват три основни проверки: 1) проверка на пълнотата на документацията, 2) проверка за съответствие на избраните механизми за сигурност с минималните изисквания, и 3) определяне на контрамерките по TEMPEST.
Чл. 88 от наредбата предвижда, че Операторът на административната система (ОАС) има правото да изисква допълнителна информация от Органа за регулиране на електронните съобщения (ОРЕ), която е необходима за одобряване на дейностите, описани в чл. 87.
Член 89 от Наредбата за сигурността на комуникационните и информационните системи предвижда, че ОАС уведомява писмено заявителя за всеки одобрен механизъм за защита на границата на съответната комуникационна и информационна система. Уведомлението включва описание на механизма, списък на компонентите и условия за валидност на одобрението.
Член 90 от Наредбата за сигурността на комуникационните и информационните системи предвижда, че условията, посочени в член 89, алинея 2, точка 3, трябва да бъдат включени в документа, описан в член 32, алинея 1, точка 1. Това подчертава важността на интегрирането на условията за сигурност в официалната документация, свързана с комуникационните и информационните системи.
Член 91 от Наредбата предвижда, че при установяване на неспособност на одобрения механизъм да осигури необходимото ниво на защита на класифицираната информация, Органът за административен контрол (ОАС) уведомява заявителя, който е задължен да предприеме необходимите действия за отстраняване на проблема. Раздел IV от наредбата описва изискванията за сигурност при осъществяване на междусистемна връзка към информационни системи от затворен тип и към системи с публичен достъп.
Член 92 от Наредбата за сигурността на комуникационните и информационните системи предвижда изисквания за информационни системи от затворен тип, участващи в междусистемна връзка с КИС. Те трябва да нямат публичен достъп, да имат определени отговорни лица за управление и сигурност, и да имат документално установени правила за достъп, запис на събития и защита от вредни програмни средства. Разпределението на отговорностите и правилата трябва да бъдат включени в съответно споразумение или заповед.
Член 93 от Наредбата регламентира, че междусистемната връзка на комуникационните и информационните системи (КИС) към публично достъпни системи, като интернет, трябва да се осъществява чрез доставчик на услугата. Това става при условие, че е сключен договор, който гарантира достъпност, качество и защита на предоставяната услуга.
Чл. 94 от Наредбата за сигурността на комуникационните и информационните системи предвижда процедура за отнемане на сертификата за сигурност. Отнемането се извършва с акт по образец, като органът по акредитиране уведомява съответната организационна единица. След получаване на акта, ръководителят на организационната единица е задължен незабавно да прекрати дейността по работа с класифицирана информация в съответната система.
Наредбата определя процедурите за акредитиране и прекратяване на сертификати за сигурност на комуникационни и информационни системи (КИС). При наличие на основание за прекратяване, сертификатът може да бъде автоматично прекратен или след подаване на заявление от заявителя. Наредбата уточнява какви действия трябва да се предприемат от органите по акредитиране и контрол, както и какви условия трябва да бъдат спазени при промяна на нивото на класификация на информацията. В допълнение, наредбата съдържа определения на ключови термини, свързани със сигурността на КИС, и указания за валидността на сертификати и свидетелства издадени преди влизането й в сила.
Този документ определя терминологията и основните понятия, свързани с комуникационните и информационните системи (КИС). Включени са определения за комуникационна система, заплаха, уязвимост, риск, ресурси, обекти и субекти на КИС, механизми за сигурност, идентификация, автентификация, оторизация, конфиденциалност, интегритет и достъпност на информацията, както и за администратори и сертифицирани КИС. Преходните и заключителни разпоредби дават рамка за прилагането на мерките за сигурност в КИС.
Сертификатите за сигурност на автоматизирани информационни системи, издадени преди влизането в сила на наредбата, остават валидни до изтичането на техните срокове.
Срокът за действащи сертификати за сигурност на автоматизирани информационни системи или мрежи започва да тече от датата на влизането в сила на наредбата, съгласно чл. 21, т. 6, буква "г".
Свидетелствата за обучение на служители по сигурността на автоматизирани информационни системи (АИС) или мрежи, издадени преди влизането в сила на настоящата наредба, остават валидни. Това важи и за удостоверенията за преминато обучение в областта на защитата на класифицирана информация, която се управлява в АИС или мрежи.
Наредбата за сигурността на комуникационните и информационните системи е приета на основание чл. 90, ал. 1 от Закона за защита на класифицираната информация. Включва приложения за издаване, отнемане и прекратяване на сертификати за сигурност на комуникационни и информационни системи (КИС), както и свидетелства за обучение на служители по сигурността на КИС. Отнемането и прекратяването на сертификати не подлежат на обжалване по съдебен ред, но могат да бъдат оспорени пред Държавната комисия по сигурността на информацията в 7-дневен срок от уведомяването на организационната единица.