Web Content Viewer
Actions
Киберсигурност
Законодателна рамка
Дата на публикуване: 31.01.2022
Последна актуализация: 10.03.2022
Както във всички останали аспекти на държавното управление, управлението в сферата на МИС е невъзможно без съответната подходяща нормативна база. Без съпътстващите ги законови норми, органите на изпълнителната власт не биха били в състояние да осъществяват своята политика в областта на МИС. Към момента, главният закон, уреждащ МИС в Р България е Закон за киберсигурност, който беше приет от 44-то Народно събрание на 31 октомври 2018 г. и беше обнародван в брой 94 на Държавен Вестник на 13 ноември 2018г. В своята същност, ЗКС транспонира Директива (EС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 година относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза като е внимателно съобразен с Българската кибер екосистема, рискове, заплахи, предизвикателства и действителност. Посредством Закона за киберсигурност се уреждат:
- организацията, управлението и контрола на киберсигурността, включително дейности и проекти по киберотбрана и по противодействие на киберпрестъпността;
- предприемане на необходимите мерки за постигане на високо общо ниво на мрежова и информационна сигурност;
- този закон се определят и правомощията и функциите на компетентните органи в областта на киберсигурността.
Посредством чл. 3. ал.2 от Закона се изисква създаването на Наредба за минималните изисквания за мрежова и информационна сигурност. В Наредбата, освен организационни се съдържат и технически изисквания. Посредством НМИМИС се уреждат:
- изисквания за минималните мерки за мрежова и информационна сигурност;
- препоръчителни мерки за мрежова и информационна сигурност;
- правила за извършване на проверките за съответствие с изискванията на тази наредба;
- редът за водене, съхраняване и достъп до регистъра на съществените услуги по чл. 6 от Закона за киберсигурност;
- образец на уведомленията за инциденти.
Съгласно задълженията на Министъра на електронното управление, заложени в чл.12, т.7 от ЗКС, е разработена и утвърдена методика и правила за извършване на оценка на съответствието с мреките за мрежова и информационн сигурност, определени с НМИМИС. Може да изтеглите този документ, както и съпътстващите го приложения, от респективните им линкове.
Може да намерите Закона за киберсигурност Наредба за минималните изисквания за мрежова и информационна сигурност в държавен вестник или да ги изтеглите от техните респективни линкове.
Наредба за минималните изисквания за мрежова и информационна сигурност
Дата на публикуване: 10.03.2022
Методика и правила за извършване на оценка за съответствието с мерките за МИС
Дата на публикуване: 10.03.2022
Актуализирана Национална стратегия за киберсигурност „КИБЕРУСТОЙЧИВА БЪЛГАРИЯ 2023 ”
Дата на публикуване: 10.03.2022
Дата на публикуване: 10.03.2022
МИС и оператори на съществени услуги
Дата на публикуване: 31.01.2022
Последна актуализация: 10.03.2022
Мрежите и информационните системи, и най-вече интернет, са от основно значение за улесняването на трансграничното движение на стоки, услуги и хора. Те позволяват съществуването на глобалния свят такъв, какъвто го познаваме днес. Тази негова форма на продължително съществуване би била невъзможна без да се гарантира, редом с редица други неща, надеждното функциониране на съществените услуги.
Това е основната движеща сила зад усилията за повишаване на мрежовата и информационна сигурност в тази област.
Но какво всъщност представляват съществените услуги и кои са операторите на съществени услуги? За да се отговори коректно на тези два въпроса следва да се обърнем към българското законодателство в лицето на Законът за киберсигурност.
Отговорът на първият въпрос е тривиален - съществени услуги, са тези услуги, които са имат съществено значение за поддържането на особено важни обществени и/или стопански дейности в един от следните сектори: енергетика, транспорт, банково дело, инфраструктура на финансовия пазар, здравеопазване, доставка и снабдяване с питейна вода или цифрова инфраструктура. Подобен отговор, обаче, поражда редица други въпроси относно тематиката, като например: Кой определя кои услуги са съществени и кои не?; Как точно се определя кои услуги са съществени и кои - не?; и др. Нека да започнем с първия от тези вторични въпроси;
Кой определя кои услуги са съществени и кои не?
Тази дейност се осъществява от националните компетентни органи (НКО) за съответния сектор (секторите изброени в приложение №1 на ЗКС). Министерството на енергетиката определя кои услуги в сектор енергетика са съществени и кои – не. Механизмът е аналогично за всички сектори, за които има определен НКО. НКО-тата са определени посредством решение на Министерски съвет №192 от 9 април 2019, което може да намерите на тази страница.
Как точно се определя кои услуги са съществени и кои – не?
Това се осъществява посредством използването на методика за определяне на съществените услуги, която всяко едно НКО трябва да спазва и която методика бе приета от МС със същото РМС.
В този смисъл, оператори на съществени услуги (ОСУ) са тези оператори, които предоставят идентифицирана посредством методиката съществена услуга.
Техните задължения към осигуряване за сигурността на тези услуги както и за докладване за инциденти с мрежовата и информационната сигурност са надлежно описани в ЗКС.
Дата на публикуване: 10.03.2022
Мрежова и информационна сигурност
Дата на публикуване: 25.02.2022
Последна актуализация: 10.03.2022
Министърът на електронното управление провежда държавната политика в областта на мрежовата и информационната сигурност. В своята дейност,той главно се ръководи от няколко различни нормативни документа, които включват: Национална стратегия по киберсигурност “Кибер устойчива България 2020”; Закон за киберсигурност; Наредба за минимални изисквания за мрежова и информационна сигурност.
Посредством ЗКС е транспонирана Директива (EС) 2016/1148 на Европейския парламент и на Съвета от 6 юли 2016 година относно мерки за високо общо ниво на сигурност на мрежите и информационните системи в Съюза.
Посредством НМИМИС са уредени изискванията за минималните мерки за мрежова и информационна сигурност, препоръчителните мерки за мрежова и информационна сигурност, правилата за извършване на проверки за съответствие с изискванията на самата наредба и др. за споменатите в Чл.1 субекти по НМИМИС.
Мрежовата и информационната сигурност представлява неотменна част от киберсигурността, като киберсигурността в Р България e разделена на няколко основополагащи стълба:
- мрежова и информационна сигурност (МИС);
- кибер отбрана;
- противодействие на киберпрестъпност.
Това разпределение е съобразено с Европейската стратегия за кибер сигурност, като всеки стълб представлява своя собствена киберекосистема, със собствени рискове, заплахи, предизвикателства, препоръки, добри практики, органи на изпълнителната власт и др.
Министърът на отбраната провежда държавната политика за защита и активно противодействие на кибератаки и хибридни действия върху системите за управление на отбраната и въоръжените сили. Министърът на отбраната организира подготовката за киберотбрана на системата за управление на страната при положение на война, военно положение и извънредно положение. За повече информация относно правата и отговорностите на МО в тази сфера може да прочетете в чл.13 от ЗКС.
Противодействието на киберпрестъпността е сферата, в която биват разрешавани проблеми, свързани с киберпрестъпления и осъществяване на сътрудничество по тези въпроси на национално, европейско и глобално ниво. Министърът на вътрешните работи провежда политиката по противодействие на кибер престъпността. По-подробна информация относно функциите на министъра на вътрешните работи в областта на киберсигурността може да намерите в чл.14 на ЗКС.
За една от по-специфичните отговорности в киберсигурността е отговорна държавна агенция “Национална сигурност”. Това е така, тъй като ДАНС изпълнява политика по защита от киберинциденти в комуникационните и информационните системи на стратегически обекти и дейности, които са от значение за националната сигурност. За повече информация относно правата и отговорностите на ДАНС в тази сфера може да прочетете чл.15 от ЗКС.
