НАРЕДБА ЗА УСЛОВИЯТА И РЕДА ЗА ОПРЕДЕЛЯНЕ НА МЕРКИТЕ ЗА ЗАЩИТА НА ИНФОРМАЦИОННИТЕ И КОМУНИКАЦИОННИТЕ СИСТЕМИ НА СТРАТЕГИЧЕСКИТЕ ОБЕКТИ ОТ ЗНАЧЕНИЕ ЗА НАЦИОНАЛНАТА СИГУРНОСТ И ЗА ОСЪЩЕСТВЯВАНЕТО НА КОНТРОЛ

Чл. 1. (1) С тази наредба се уреждат условията и редът за определяне на мерките за защита на информационните и комуникационните системи на стратегическите обекти и дейности, които са от значение за националната сигурност.

(2) С наредбата се определят условията и редът за осъществяване на контрол по изпълнението на мерките по ал. 1.

Чл. 2. Тази наредба не се прилага за информационните и комуникационните системи на стратегическите обекти и дейности, използвани за създаване, съхраняване, обработване и пренасяне на класифицирана информация.

Чл. 3. (1) Ръководителите на стратегическите обекти и възлагащите стратегически дейности, които са от значение за националната сигурност, определят системите с критично значение за дейността след изготвяне на оценка и план за управление на рисковете за сигурността.

(2) Системи с критично значение за дейността по ал. 1 са информационните и комуникационните системи, които са необходими за осъществяването на стратегическата дейност или за защитата на стратегическия обект или обекта, в който се извършва стратегическа дейност, и при нарушаването на функциите им се затруднява или преустановява стратегическата дейност или се създава заплаха за националната сигурност.

(3) Ръководителите на стратегическите обекти и възлагащите стратегически дейности утвърждават вътрешни правила за сигурност на системите с критично значение за дейността и определят със заповед служителите, отговорни за тяхното администриране.

Чл. 4. (1) В 30-дневен срок от определянето на системата за такава с критично значение за дейността ръководителите на стратегическите обекти и възлагащите стратегически дейности, които са от значение за националната сигурност, писмено уведомяват за това председателя на Държавна агенция "Национална сигурност" (ДАНС).

(2) Уведомлението по ал. 1 съдържа:

1. идентификация на системата;

2. общо описание на системата (архитектура, използвани технологии, връзки с други системи, описание на предоставяните и използваните услуги, използван приложен софтуер и хардуер);

3. управление на сигурността, длъжностни лица по сигурността и отговорности;

4. лица за контакт.

(3) След получаването на уведомлението по ал. 1 председателят на ДАНС може да поиска допълнителна информация за системата. Информацията се предоставя в срок до 30 дни от нейното поискване.

(4) При промяна на обстоятелствата по ал. 2 ръководителите на стратегическите обекти и възлагащите стратегически дейности, които са от значение за националната сигурност, са длъжни незабавно да уведомят председателя на ДАНС.

Чл. 5. (1) Информационните и комуникационните системи с критично значение за дейността на стратегическите обекти и дейности, които са от значение за националната сигурност, се вписват в регистър.

(2) Регистърът по ал. 1 не е публичен и се поддържа от ДАНС.

Чл. 6. (1) За всяка система по чл. 3 ръководителите на стратегическите обекти и възлагащите стратегически дейности определят административни, организационни, технически и криптографски мерки за информационна защита.

(2) Мерките по ал. 1 се съобразяват с организацията на дейността, със спецификата на работните процеси на конкретния обект и с технологичните особености на елементите, изграждащи системите.

(3) Мерките по ал. 1 се съобразяват с международните стандарти за киберсигурност и със специфичните технически стандарти за сигурна комуникация в реално време, непосредствено след като съответните продукти излизат на пазара.

(4) При определянето на мерките по ал. 1 се имат предвид ограниченията за работа в реално време в цялостната концепция за сигурност на активите и по-специално при класифицирането на активите.

(5) При определянето на мерките по ал. 1 се включват такива за разделянето на цялостната система на логически зони, а в рамките на всяка зона се дефинират времеви и технологични ограничения.

(6) При определянето на мерките по ал. 1 се включват такива, с които се гарантира, че новите устройства от типа "интернет на предметите" притежават и ще поддържат ниво на киберсигурност, което съответства на важността на изпълняваните стратегически дейности.

(7) Когато това е подходящо, мерките по ал. 1 включват такива за изграждане на сигурен протокол за комуникация между отделните звена, като се вземат предвид изискванията за работа в реално време.

(8) Когато това е подходящо, мерките по ал. 1 включват такива за въвеждането на механизъм на удостоверяване на комуникацията между системите, за да бъдат изпълнени изискванията за непрекъсваемост на работния процес.

(9) Мерките по ал. 1 се прецизират по начин, ограничаващ възникването на каскаден ефект при прекъсването или изключването на една или повече системи.

(10) Мерките по ал. 1 включват технически и административни средства срещу зловредни атаки, произтичащи от голям брой зловредно контролирани потребителски устройства или приложения.

Чл. 7. (1) Ръководителите на стратегическите обекти и възлагащите стратегически дейности отговарят за прилагането на мерките за защита, включително за финансирането на тези мерки.

(2) Ръководителите на стратегическите обекти и възлагащите стратегически дейности изготвят описание на мерките по чл. 6, което се изпраща на председателя на ДАНС в 30-дневен срок от изготвянето му.

(3) При промяна на мерките за защита на системите по чл. 3 ръководителите на стратегическите обекти и възлагащите стратегически дейности, които са от значение за националната сигурност, уведомяват председателя на ДАНС по реда на ал. 2.

Чл. 8. (1) При необходимост, при определянето на мерките по чл. 6 органите на ДАНС оказват методическа помощ на ръководителите на стратегическите обекти и на възлагащите стратегически дейности.

(2) Органите на ДАНС могат да предоставят информационни материали, да участват в провеждането на обучения и други мероприятия с цел определяне на информационни и комуникационни системи с критично значение за дейността и мерките за тяхната защита и повишаването на способностите за защита от инциденти в информационната сигурност на стратегическите обекти и дейности.

Чл. 9. (1) Веднъж годишно ръководителите на стратегическите обекти и възлагащите стратегически дейности извършват анализ на ефикасността на прилаганите мерки за защита на системите по чл. 3 и при необходимост актуализират оценката и плана за управление на рисковете за сигурността.

(2) Анализът на ефикасността на прилаганите мерки за защита на системите по чл. 3 се предоставя на ДАНС до 30 март на текущата година.

(3) Анализите на ефикасността на прилаганите мерки за защита на системите по чл. 3 се съхраняват от ръководителите на стратегическите обекти и възлагащите стратегически дейности минимум пет години от датата на изготвянето им.

Чл. 10. (1) Като превантивна мярка за защита на системите по чл. 3 се въвеждат системи за откриване на аномална и/или злонамерена активност.

(2) Системата функционира по отношение на всички крайни устройства, мобилни устройства, сървъри, устройства за съхраняване на данни, активни мрежови елементи и други информационно-комуникационни технологии.

(3) Системата се изгражда по начин, осигуряващ обмен на данни с центъра по чл. 15, ал. 2 от Закона за киберсигурност.

Чл. 11. (1) Контролът по изпълнение на мерките за защита на информационните и комуникационните системи на стратегическите обекти и дейности, които са от значение за националната сигурност, се осъществява посредством планови и инцидентни проверки, извършвани от служители на ДАНС, определени със заповед на председателя на агенцията.

(2) Със заповедта по ал. 1 се определят и служителите, имащи правомощия да съставят актове за установяване на административни нарушения.

Чл. 12. (1) Плановите проверки се извършват по одобрен от председателя на ДАНС годишен план.

(2) Инцидентни проверки могат да се извършват в следните случаи:

1. по писмени сигнали на физически или юридически лица;

2. във връзка с постъпила информация от органи на изпълнителната власт и местното самоуправление;

3. при наличие на информация за обстоятелства, които биха оказали негативно въздействие върху сигурността на системите;

4. по публикации и съобщения в средствата за масово осведомяване;

5. при откриване на аномална и/или злонамерена дейност срещу информационната инфраструктура на стратегически обект чрез центъра по чл. 15, ал. 2 от Закона за киберсигурност.

(3) Проверките се назначават със заповед на председателя на ДАНС или оправомощено от него длъжностно лице, в която се съдържа информация за:

1. проверявания стратегически обект или лице, осъществяващо стратегическа дейност;

2. обхвата и продължителността на проверката;

3. председателя и членовете на комисията за извършване на проверката;

4. реда за докладване за резултатите от проверката;

5. материално-техническото и финансовото осигуряване на проверката.

Чл. 13. При извършване на проверките служителите на ДАНС имат право:

1. на достъп до обектите, помещенията, информационните и комуникационните системи и активите в проверявания стратегически обект или лице, осъществяващо стратегическа дейност;

2. на достъп до документите, свързани с изпълнението на наредбата по отношение на проверявания стратегически обект или лице, осъществяващо стратегическа дейност;

3. при необходимост да изискват писмени и устни обяснения от ръководителите на стратегическите обекти и възлагащите стратегически дейности и от служителите от проверявания стратегически обект или лице, осъществяващо стратегическа дейност;

4. да получават информация от други юридически и физически лица и при необходимост да изискват обяснения от техните ръководители и служители за дейности по защита на информационните и комуникационните системи на проверявания стратегически обект или лице, осъществяващо стратегическа дейност, във връзка с извършваната проверка;

5. да привличат експерти, когато са необходими специални знания за изясняване на обстоятелства във връзка с извършвана проверка;

6. да дават задължителни предписания във връзка с изпълнение на мерките за защита на информационните и комуникационните системи на стратегическите обекти и дейности, които са от значение за националната сигурност;

7. да предприемат действия за осъществяване на административнонаказателна отговорност при констатирани нарушения.

Чл. 14. За неизпълнение на задълженията по тази наредба виновните лица носят отговорност по чл. 133, ал. 1 и 3 от Закона за Държавна агенция "Национална сигурност".