НАРЕДБА ЗА МИНИМАЛНИТЕ ИЗИСКВАНИЯ ЗА МРЕЖОВА И ИНФОРМАЦИОННА СИГУРНОСТ
Това е резюме на текстовете от нормативния акт, целящо лесно и бързо запознаване на потребителя с нормите в него.
Виж оригиналния текст на документа
Чл. 1
Наредбата се прилага за административни органи, оператори на съществени услуги, доставчици на цифрови услуги, лица с публични функции, предоставящи административни услуги по електронен път, и организации, предоставящи обществени услуги. Тя урежда минималните и препоръчителни мерки за мрежова и информационна сигурност, правилата за проверки за съответствие, реда за водене на регистър на съществените услуги и образец на уведомленията за инциденти.
Чл. 2
Наредбата определя минималните изисквания за мерки по мрежова и информационна сигурност, които трябва да са организационни, технологични и технически. Тези мерки трябва да са подходящи и пропорционални на рисковете, като гарантират достъпността, интегритета и конфиденциалността на информацията през целия й жизнен цикъл. Мерките трябва да съответстват на националните и европейски изисквания и да се основават на международни стандарти и добри практики. Те трябва да бъдат разнородни, конкретни, ефикасни, пропорционални на рисковете и проверими. Минималните мерки не са обвързани с определени технологии.
Чл. 3
Наредбата определя задълженията на административните органи и ръководителите на субекти относно мрежовата и информационната сигурност. Те носят пряка отговорност за сигурността, дори ако дейността е възложена на трети страни. Субектите трябва да създадат комплексна система от мерки за управление на сигурността, съобразена с международния стандарт БДС ISO/IEC 27001, и да осигурят необходимите ресурси за адекватни мерки. Контролът върху сигурността включва одити и годишни прегледи. Освен това, трябва да се определят служители или звена, отговорни за сигурността, които да са на пряко подчинение на ръководството.
Чл. 4
Субектите са задължени да разработят и приемат политика за мрежова и информационна сигурност, която трябва да бъде преразглеждана поне веднъж годишно и актуализирана при необходимост. Политиката трябва да включва стратегическите цели на субекта, подхода за постигането им, както и специфични политики за сигурност, свързани с информационните и комуникационните системи. Тези политики обхващат области като обмен на информация, мобилни устройства, работа от разстояние, криптография, управление на достъпа, инциденти и обучение на служителите.
Чл. 5
Чл. 5 от Наредбата за минималните изисквания за мрежова и информационна сигурност предвижда задължения за поддържане на документация от страна на субектите. Тази документация включва опис на информационните активи, схеми на свързаност и информационни потоци, документация на кабелната система, техническа документация на системите, инструкции за администриране и правила за служителите. Документацията трябва да бъде актуална, одобрена от ръководител и достъпна само за упълномощени лица. Освен това, субектите трябва да поддържат информация, доказваща спазването на изискванията, която също е ограничена до определени лица и органи.
Чл. 6
Чл. 6 от наредбата предвижда, че субектът трябва да приеме вътрешни правила за класификация на информацията, които определят начина на маркиране, обработка и унищожаване на информацията. Правилата трябва да осигуряват адекватна защита на информацията, в зависимост от нейната важност и чувствителност. Класификацията се прилага и върху ресурсите, свързани с информацията, и не трябва да се използват нивата на класификация от Закона за защита на класифицираната информация. Информация без класификация е достъпна за общо ползване, а при обмен на информация се използва класификация TLP.
Чл. 7
Чл. 7 регламентира задължението на субектите да извършват редовен анализ и оценка на риска за мрежовата и информационната сигурност, най-малко веднъж годишно или при съществени изменения. Процесът трябва да бъде документиран и да следва одобрена методика, която осигурява обективни и повтарящи се резултати. На базата на анализа, субектът изготвя план за намаляване на неприемливите рискове, който включва мерки, ресурси, срокове и отговорни лица.
Чл. 8
Субектите са задължени да приемат вътрешни правила, които регламентират управлението на жизнения цикъл на информационните и комуникационни системи. Тези правила трябва да определят условията и реда за придобиване, експлоатация, поддръжка и унищожаване на системите. Освен това, описът на информационните активи трябва да съдържа информация за идентификация, характеристики, услуги, местоположение, дата на производство, дата на въвеждане в експлоатация, версия, документация и отговорно лице.
Чл. 9
Член 9 от Наредбата предвижда мерки за намаляване на риска от инциденти, предизвикани от служители, чрез вътрешни правила и инструкции. Субектът трябва да осигури, че служителите имат необходимата квалификация и знания за изпълнение на задълженията си. Вътрешните правила регламентират процеса на наемане, отговорностите при промяна на служебните отношения и дисциплинарния процес при нарушения. Отговорностите на служителите се документират с ясни срокове. Субектът осигурява професионално обучение и периодично инструктиране на служителите за повишаване на сигурността.
Чл. 10
Наредбата определя минималните изисквания за мрежова и информационна сигурност при установяване на взаимоотношения с трети страни. Субектът е задължен да договори мерки за сигурност на информацията, да осигури доказателства за адекватност на мерките от третата страна, да гарантира прозрачност на веригата на доставките, да уточни последиците от неспазване на изискванията, да определи отговорности и да осигури взаимодействие при инциденти. Субектът също така назначава отговорни служители и изготвя план за действие при неспазване на уговорките.
Чл. 11
Чл. 11 от Наредбата задължава субектите да приемат вътрешни правила за управление на измененията в важните информационни активи. Преди извършване на изменения, е необходимо да се проведе анализ и оценка на риска. Измененията трябва да бъдат планирани, съгласувани с отговорните страни, одобрени от административния орган, оповестени на заинтересованите страни поне 3 дни предварително и проверени в тестова среда. Също така, субектите трябва да разработят план за възстановяване на системите в предишно състояние, за да минимизират продължителността на инциденти, произтичащи от измененията.
Чл. 12
Чл. 12 от Наредбата изисква субектите при разработването на проекти и технически задания да включват адекватни изисквания за мрежова и информационна сигурност, основаващи се на анализ на риска. Целта е да се осигури необходимото ниво на сигурност на информацията и системите още в етапа на разработка. Освен това, новите информационни системи трябва да се въвеждат след успешно проведени тестове, които потвърдяват защитата на информацията от загуба на достъпност, интегритет и конфиденциалност.
Чл. 13
Субектите трябва да поддържат инфраструктура, която физически и/или логически разделя информационните и комуникационните системи помежду им и от системите на трети страни, за да се предотврати разпространението на инциденти с мрежовата и информационната сигурност. При наличие на подсистеми, разделянето трябва да бъде на последно физическо или логическо ниво, като различни компоненти на информационната система (уеб сървър, приложен сървър и сървър с база данни) трябва да бъдат разположени на отделни машини и мрежи.
Чл. 14
Субектът трябва да осигури контрол над трафика между системите чрез филтриране по IP адрес, протокол и порт, за да предотврати атаки и инциденти. Правилата за филтриране трябва да бъдат предварително одобрени и редовно проверявани за промени. Забраната на ненужни TCP и UDP портове е задължителна чрез конфигуриране на софтуерни и хардуерни решения.
Чл. 15
Субектите, контролиращи мрежи, трябва да приемат ясни политики относно използването на лични технически средства и преносими записващи устройства. Тези политики трябва да бъдат отразени във вътрешните правила и да включват адекватни мерки за справяне с потенциалните заплахи.
Чл. 16
Субектите са задължени да разработят политика и вътрешни правила за прилагане на криптографски механизми, които осигуряват конфиденциалността и интегритета на чувствителната информация, в съответствие с нейната класификация. Криптографските механизми трябва да отразяват уязвимостите на информацията към заплахи и да спазват нормативните изисквания за създаване, съхраняване и пренасяне на информация.
Чл. 17
Чл. 17 от Наредба за минималните изисквания за мрежова и информационна сигурност предвижда мерки за защита на профилите с административни права. Основните изисквания включват: смяна на идентификационни данни преди експлоатация; персонализирани администраторски профили; използване на администраторски профили само за административни цели; ограничаване на правата на администраторите; осигуряване на сложност и защита на данните за автентикация; поддържане на списък на администраторските профили; спиране на права при невъзможност за изпълнение на функции; годишен преглед на профилите; задължителна смяна на пароли; документиране на операции с администраторски права; и забрана за съхраняване на пароли в явен текст.
Чл. 18
Чл. 18 от Наредбата предвижда, че субектът трябва да използва отделна и защитена среда за администриране на информационните и комуникационните системи. Тази среда трябва да бъде изолирана от другите системи и интернет, и не може да се използва за други цели. Ако администрирането не се осъществява в тази среда, информацията трябва да бъде защитена чрез механизми за удостоверяване и криптиране.
Чл. 19
Чл. 19 от Наредбата задължава субектите да предоставят достъп до информационните и комуникационните системи единствено на оторизирани потребители и автоматизирани процеси, когато това е строго необходимо. Субектите трябва да определят правата на достъп в своите вътрешни правила, да прилагат мерки за автентикация и одит, да гарантират индивидуални потребителски профили с минимално ниво на достъп, да извършват редовни прегледи на достъпа, да ограничават привилегирования достъп и да контролират достъпа до споделени ресурси.
Чл. 20 от Наредба за минималните изисквания за мрежова и информационна сигурност
При достъп до информационни активи извън контролирана мрежа, се изисква спазване на определени мерки за сигурност. Необходимо е да се използва двуфакторна автентикация и да се осигурят защитени канали, като VPN. Забранено е използването на FTP и Remote Desktop Connection за предаване на данни.
Чл. 21
Чл. 21 определя задълженията на Субекта за намаляване на риска от инциденти, предизвикани от технически повреди и неоторизиран достъп. Субектът трябва да осигури климатико-механичните условия, да наблюдава параметрите на условията и да провежда регулярна техническа профилактика на устройствата. Освен това, устройствата трябва да бъдат разположени в защитени зони, съобразно класификацията на информацията, с която работят.
Чл. 22
Чл. 22 от Наредбата определя задълженията на субектите относно инсталирането и поддържането на софтуер и фърмуер. Субектите трябва да използват само актуални и одобрени версии на софтуера, да поддържат библиотека с дистрибутиви, да предприемат мерки за контрол на софтуера и да приемат вътрешни правила за управление на актуализациите и конфигурациите. Необходимо е редовно да се проверяват конфигурационните файлове за нерегламентирани изменения и да се съхраняват off-line копия от актуалните настройки.
Чл. 23
Чл. 23 от Наредбата за минималните изисквания за мрежова и информационна сигурност предвижда задължения за субектите относно защитата от зловреден софтуер. Субектите трябва да прилагат мерки за защита и откриване на зловреден софтуер в информационната и комуникационната си инфраструктура, които да са актуални и да покриват всички компоненти на системите. Освен това, те трябва да извършват редовни проверки за зловреден софтуер и да оценяват ефективността на прилаганите мерки, предприемайки действия за подобряване при нужда.
Чл. 24
Субектите трябва да предприемат редица мерки за защита на уеб сървърите, включително инсталиране на сертификати от доверени системи, използване на HTTPS и TLS протоколи, прилагане на Web Application Firewall, валидиране на входни данни и защита от кибератаки. Освен това, трябва да се ограничат неуспешните опити за влизане, да се конфигурират бисквитките с флагове за защита и да се добави файл robot.txt в главната директория на сайта.
Чл. 25
Субектите трябва да предприемат мерки за защита на DNS, включително разполагане на DNS сървъри в различни мрежи, прилагане на DNSSEC, минимизиране на DNS заявките, забрана на zone-transfers и добавяне на dmarc и SPF записи в конфигурационния файл.
Чл. 26
Субектите трябва да осигурят физическа защита на информационните активи чрез адекватни мерки срещу неоторизиран достъп, като гарантират наличността, интегритета и конфиденциалността на информацията. Освен това, те трябва да защитят активите от природни и химически заплахи, съобразно нормативните актове. За да се осигури ефективност, субектите трябва да наблюдават приложените мерки.
Чл. 27
Субектите, които използват индустриални системи за контрол, от функционирането и сигурността на които зависят съществени услуги, са задължени да предприемат подходящи мерки за защита на тези системи. Това задължение важи, ако изискванията на наредбата са приложими.
Чл. 28
Чл. 28 от Наредбата задължава субектите да използват системи за автоматично откриване на събития, които могат да повлияят на мрежовата и информационната сигурност. Това включва анализ на информационни потоци, протоколи и файлове, преминаващи през ключови устройства, които трябва да могат да анализират всички обменяни данни между собствените системи и тези на трети страни. Субектите трябва също така да организират действията за наблюдение и реакция на сигналите от тези системи чрез вътрешни правила или инструкции.
Чл. 29
Член 29 от Наредбата за минималните изисквания за мрежова и информационна сигурност определя задълженията на субектите относно системните записи. Те трябва автоматично да регистрират важни събития, свързани с автентикацията на потребителите и управлението на правата на достъп. Записите трябва да съдържат точно астрономическо време на събитията и да спазват стандарти за времеви представяния. Достъпът до информацията е ограничен до определени лица и информацията трябва да се архивира за минимум 12 месеца. Субектите също трябва да могат да анализират информацията от различни източници за откриване на инциденти.
Чл. 30
Чл. 30 от Наредбата регламентира вътрешните правила за обработка на сигнали и реакция при инциденти в контекста на мрежовата и информационната сигурност. Вътрешните правила трябва да съдържат реда за подаване на сигнали, информация за отговорните лица, процедури за регистриране и уведомяване за инциденти, както и права за достъп до регистъра на инцидентите. Субектите трябва да разработват и поддържат актуални планове за справяне с инциденти, включващи отговорници, мерки и ред за информиране. Освен това, субектите трябва да имат стратегия за комуникация относно инцидентите с различни заинтересовани страни.
Чл. 31
При инциденти с мрежовата и информационната сигурност, служителите или отговорните звена трябва да уведомят секторния екип за реагиране в определените срокове. Уведомлението се извършва чрез специфични формуляри, а статистическата информация за инциденти се изпраща към националния екип. Всички изпратени данни по електронна поща трябва да бъдат защитени от неоторизиран достъп и класифицирани.
Чл. 32
Чл. 32 от Наредбата урежда разработването на вътрешни правила и инструкции за резервиране и архивиране на информация. Тези правила трябва да отразяват целите на политиката за мрежова и информационна сигурност и да включват информация за видовете данни, технологията за архивиране, периодичността на резервирането, броя на копията и условията за защита от неправомерен достъп. Собственикът на информацията определя изискванията, които трябва да отговарят на нуждите за възстановяване на данните. Освен това, се предвиждат специфични изисквания за регулярност на копията, етикетиране и защита на чувствителна информация.
Чл. 33
Субектите са задължени да предприемат мерки за осигуряване на услугите и дейностите, свързани с мрежова и информационна сигурност, в зависимост от рисковете. Мерките включват резервиране на системи и устройства, балансиране на натоварването на критични устройства или системи, както и резервиране на центрове за данни.
Чл. 34
Субектите са задължени да разработват планове за действия в случай на аварии или непредвидени обстоятелства, които могат да прекъснат услугите им. Плановете трябва да включват обстоятелствата, праговете за задействане, отговорното лице и реда за възстановяване на услугите. Те трябва да се проиграват поне веднъж годишно, да се поддържат актуални, да бъдат достъпни само за отговорните лица и да се съхраняват на поне две места, едно от които извън основната сграда.
Чл. 35
Чл. 35 от Наредбата за минималните изисквания за мрежова и информационна сигурност описва три вида одити за контрол на спазването на изискванията. Вътрешните одити (първа страна) се организират от Субекта и могат да се извършват от негови служители или трета страна. Външните одити (втора и трета страна) са организирани от клиенти или независими организации и са препоръчителни. Одитите по ал. 1, т. 1 трябва да се провеждат периодично, поне веднъж годишно, от квалифицирани лица, спазващи принципите на почтеност и независимост. Резултатите от одитите се документират и предоставят на националния компетентен орган.
Чл. 36
Член 36 от Наредбата за минималните изисквания за мрежова и информационна сигурност описва процедурата за проверки на съответствието с изискванията на закона. Проверките се извършват от министъра на електронното управление, съобразно определени стандарти и вътрешни правила. Те се планират в годишна програма и могат да бъдат извършвани и извън нея при искане от правоимащ орган или по заявка на субекта. Оправомощените лица следва да притежават необходимата квалификация и да спазват принципите на почтеност и независимост. След приключване на проверката се изготвя доклад с резултатите, който трябва да съдържа оценка на съответствието и, при нужда, препоръки за подобрение.
Чл. 37
Чл. 37 от наредбата предвижда, че националните компетентни органи могат да използват анкети за събиране на информация, свързана с изискванията за мрежова и информационна сигурност, определени в наредбата. Анкетите могат да включват въпроси относно всички изисквания от глава втора, като попълнените анкети имат класификация TLP-AMBER. Глава четвърта от наредбата е посветена на регистъра на съществените услуги и идентифицирането на операторите на съществени услуги.
Чл. 38
Чл. 38 от наредбата задължава административните органи, определени от Министерския съвет, да идентифицират и регистрират съществените услуги и операторите, които ги предоставят. За целта те прилагат методика, приета с решение на Министерския съвет. Административните органи трябва да извършват преглед на адекватността на критериите и съществуващите услуги поне веднъж на две години.
Чл. 39
Член 39 от Наредбата указва, че информацията, събрана по член 38, е с класификация TLP-RED. Това означава, че информацията е строго конфиденциална и не трябва да бъде разпространявана извън определените рамки. Освен това, членът подчертава необходимостта от поддръжка на информацията в регистъра на съществените услуги, което е важно за осигуряване на мрежовата и информационната сигурност.
Чл. 40
Административните органи предават информация на министъра на електронното управление за съществените услуги и операторите, които ги предоставят, използвайки защитени комуникационни канали. Министърът на транспорта и съобщенията предава информация за цифровите услуги на министъра на електронното управление, съгласно определени директиви и закони, също по защитени канали.
Чл. 41
Чл. 41 от Наредбата за минималните изисквания за мрежова и информационна сигурност определя, че служители, оправомощени от министъра на електронното управление, администрират регистър на съществените услуги. Те са отговорни за въвеждането на информация, получена по чл. 38. Това подчертава важността на защитата на регистъра и информацията в него.
Чл. 42
Чл. 42 от наредбата предвижда, че към регистъра на съществените услуги се прилагат минимални мерки за мрежова и информационна сигурност. Тези мерки са описани в глава втора, раздел II и раздел III, като включват уточнения от чл. 19. Освен това, се акцентира на управлението на достъпа до регистъра на съществените услуги.
Чл. 43
Наредбата определя минималните изисквания за мрежова и информационна сигурност, включително достъпа до регистъра на съществените услуги, който е ограничен до упълномощени представители на различни национални и секторни екипи за реагиране при инциденти с компютърната сигурност. Достъпът е индивидуален и изисква одобрение от министъра на електронното управление. Освен това, наредбата предвижда изисквания за конфигуриране на системи и управление на риска, включително класификация на информацията и инцидентите. Включени са и допълнителни разпоредби за стандарти и методи за управление на сигурността на информацията.
§1
Наредбата е съобразена с групата стандарти БДС (EN) ISO/IEC 2700х, международни стандарти в областта на информационните технологии и сигурността, препоръките на Групата за сътрудничество по мрежова и информационна сигурност към Европейската комисия от февруари 2018 г., както и с добри практики, препоръчани от водещи организации в мрежовата и информационната сигурност.
Параграф §2
В параграф §2 от наредбата се определят ключови термини свързани с мрежовата и информационната сигурност. DNSSEC е набор от разширения за удостоверяване на автентичността на DNS информацията. Dmark указва политиките за валидиране на електронната поща, а SPF описва метода за удостоверяване на електронна поща чрез DNS запис. Всички тези механизми целят повишаване на сигурността на услугите, предоставяни от домейни.
§4 и Заключителни разпоредби към Постановление № 134
Наредбата за минималните изисквания за мрежова и информационна сигурност е приета на основание член 3, алинея 2 от Закона за киберсигурност. В допълнение, постановление № 134 от 20 юни 2022 г. предвижда изменения и допълнения на нормативни актове на Министерския съвет, като заключителните разпоредби на това постановление са обнародвани в Държавен вестник, брой 47 от 2022 г. и влизат в сила от 24 юни 2022 г.
§15
Наредбата влиза в сила от деня на обнародването й в "Държавен вестник". В приложението към наредбата е представен списък на стандарти в областта на мрежовата и информационната сигурност, разделени на категории: управление на сигурността на информацията, управление на риска, идентификация и автентикация, криптиране, одити и оценка на сигурността. Класификацията на информацията е важна за адекватната защита на данните, като се прилага принципът на пропорционалност спрямо заплахите. Информацията се класифицира на нива от 0 до 3, като всяко ниво определя различни изисквания за достъп и защита.
