Новини Съдържание
бр. 7, 2003

Изисквания към АИС и мрежи, поддържащи класифицирана информация

от , 23 юни 2003 2 40594 прочитания,

Страница 1 от 2

Достъпът до класифицираната информация в Република България се регламентира от Закона за защита на класифицираната информация (ЗЗКИ) и свързаните с него подзаконови нормативни актове. Един от тях е Наредбата за задължителните общи условия за сигурност на автоматизираните информационни системи (АИС) или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация. Тя е приета с ПМС № 99/10.05.03 и обнародвана в ДВ бр.46/20.05.2003. ПОНЯТИЯТА Наредбата дефинира АИС като съвкупност от технически и програмни средства, методи, процедури и персонал, организирани за осъществяване на функции по създаване, съхраняване, обработване, ползване и обмен на класифицирана информация в границите на системата. Съгласно нея мрежата е комплекс от технически и програмни средства, методи и ако е необходимо персонал и процедури, организирани за осъществяване на обмен на данни (информация) между две или повече АИС или в рамките на една. В чл. 89 от Закона за защита на класифицираната информация (ЗЗКИ) сигурността на АИС и мрежи представлява система от принципи и мерки за защита от нерегламентиран достъп до класифицираната информация, която се създава, обработва, съхранява и пренася в тях. ПРОЦЕДУРАТА Законът за защита на класифицираната информация (глава VI, раздел V, чл. 89 до 94) постановява дефинирането на задължителни общи условия за сигурност на АИС и мрежи в отделна наредба. В съответствие с тях се изработват специфични изисквания и процедури (правила) за сигурност за всяка АИС или мрежа, които се утвърждават от Национален орган – Дирекция “Защита на средствата за връзка” (ДЗСВ) на МВР. Преди въвеждане в експлоатация на АИС и мрежата този орган извършва комплексна оценка на нейната сигурност в съответствие с утвърдените специфични изисквания и издава сертификат. ЗЗКИ изисква наличието на служители по сигурност на АИС и мрежи. ЗАДЪЛЖИТЕЛНИТЕ ОБЩИ УСЛОВИЯ за сигурност включват: Органите по сигурността на АИС и мрежи; Условията и реда за извършване на комплексна оценка на сигурността и издаване на сертификати – акредитиране; Задължителните общи изисквания за сигурност на АИС и мрежи – физическата, персонална, документална, комуникационна, криптографска и компютърна сигурност, както и защитата от паразитни електромагнитни излъчвания (ПЕМИ). С прилагането на описаната система от мерки за сигурност се цели осигуряване на конфиденциалност, интегритет и достъпност на информацията, създавана, обработвана, съхранявана или пренасяна в АИС или мрежата. ОРГАНИ ПО СИГУРНОСТТА на АИС и мрежи са Държавната комисия по сигурност на информацията (ДКСИ), ДЗСВ, органите по сигурността в организационната единица. ДКСИ осъществява общ контрол по защитата на класифицираната информация в информационните системи и мрежите и процеса на акредитиране на тези системи и мрежи. Органът за акредитиране на сигурността е ДЗСВ. Той дава указания, препоръчва стандарти и средства, координира и контролира дейността по защита от ПЕМИ; утвърждава документите по сигурността, извършва комплексна оценка, издава сертификати и провежда обучение. Органите по сигурността в организационната единица са служител и администратор по сигурността на АИС или мрежи, орган по развитие и експлоатация (ОРЕ), потребители. Функциите на служителя обхващат контрол върху спазването на изискванията за сигурност на АИС и разследване компрометирането й. Той отговаря за установяването на политиката за сигурност, координира изготвянето на специални изисквания към сигурността (СИС), процедурите за сигурност и свързаните с тях експлоатационни документи. Разрешава достъп до най-високо ниво на класифицирана информация. ОРЕ участва в определянето на политиката за сигурност, осигурява изискванията за акредитиране на АИС и предлага администратор по сигурността. Извършва периодични проверки на документацията по сигурността и заедно със служителя по сигурност разследва случаите на компрометиране. Потребителите на автоматизирани информационни системи или мрежи имат необходимото разрешение за достъп до класифицирана информация. Те предварително са преминали съответното обучение и са получили права за достъп до ресурс.

1 2

Още от "Съдържание"