Обществени консултации

Проект на Закон за изменение и допълнение на Закона за защита на класифицираната информация

Изменението и допълнението на ЗЗКИ се налага от необходимостта от синхронизиране и адаптиране на българското законодателство с европейската стратегическа рамка (Политика за сигурност по отношение на осигуреността на информацията от гледна точка на междусистемните връзки - IASP 3 и Политика за сигурност във връзка с осигуреността на информацията по ТЕМПЕСТ - IASP 7) и тази на НАТО (AD 070-001 ACO Security Directive, AC/322-D/0030-REV5, AC/322-D(2010)0049 и SDIP-27), произтичащо от членството ни в Европейския съюз и НАТО, усъвършенстване на законовата уредба, свързана със сигурността на автоматизираните информационни системи или мрежи, използвани за работа с класифицирана информация, както и запълване на празноти, регулиращи свързаността между автоматизираните информационни системи (АИС) за обработка на класифицирана информация с АИС за некласифицирана информация, в т.ч. и с публични мрежи.

Комуникационните и информационни инфраструктури се превръщат в гръбнак и критичен фактор за управлението и нормалното функциониране на всички системи с национално значение, в т.ч. и за сигурността и отбраната на страната. Взаимосвързаните комуникационни и информационни системи (КИС) предоставят възможност за интегриране и ефективно използване на създавания комуникационен и информационен ресурс с цел обмен на данни, информация, услуги и бизнес.

Към настоящия момент разпоредбата на чл. 94 от ЗЗКИ въвежда изрична забрана за междусистемна свързаност на АИС или мрежи за обработка на класифицирана информация с такива за некласифицирана, както и връзка с публични мрежи, като Интернет и други подобни електронни комуникационни мрежи. Същевременно технологичните достижения към момента осигуряват гарантиран еднопосочен пренос на данни и информация посредством одобрените за използване и в НАТО високоскоростни диоди за предаване на данни. С оглед на това забраната на чл. 94 към момента възпрепятства създаването на връзки между КИС, обработващи различна информация, независимо, че същите може да имат едно и също предназначение. Въпросът за ефективността на разпоредбата на чл. 94 от ЗЗКИ е поставян на работни срещи в Комисията за защита на класифицираната информация и ДАНС.

В тази връзка Министерството на отбраната, след проведени консултации с представители на Министерството на вътрешните работи (МВР), Държавна агенция „Национална сигурност“ (ДАНС) и Държавната комисия за сигурност на информацията (ДКСИ), предложи и със заповед на министъра на отбраната беше създадена междуведомствена експертна работна група (МЕРГ) за подготовка на проект за изменение и допълнение на ЗЗКИ в областта на сигурността на автоматизираните информационни системи. В нея взеха участие експерти от Министерството на отбраната, Министерството на вътрешните работи, ДКСИ и ДАНС.

След внимателен анализ, изучаване на добрите практики за регламентиране на подобни отношения в НАТО и ЕС, както и в отделни държави, работната група изготви проект на закон за изменение и допълнение на ЗЗКИ, в който основните изменения и допълнения се изразяват в следното:

1. Допуска се междусистемна връзка на КИС, предназначени за класифицирана информация до ниво „Секретно” включително, с други КИС за класифицирана информация със същото или различно ниво на класификация, както и към информационни системи от затворен тип при условията, посочени в наредбата по чл. 90, ал. 1;

2. Допуска се междусистемна връзка на КИС, предназначени за класифицирана информация с ниво „За служебно ползване”, към Интернет и/или други публични мрежи при условията, посочени в наредбата по чл. 90, ал. 1;

3. Не се допуска междусистемна връзка на КИС, предназначени за класифицирана информация с ниво „Поверително” и „Секретно” с КИС, предназначени за класифицирана информация с ниво „За служебно ползване”, които са свързани към Интернет и/или други публични мрежи;

4. Не се допуска междусистемна връзка на КИС, предназначени за класифицирана информация с ниво „Строго секретно”;

5. Междусистемната връзка е разрешена само когато:

5.1. В КИС са приложени механизми за защита на границата, одобрени от Държавна агенция „Национална сигурност”, по реда и при условията определени с наредбата по чл. 90, ал. 1.

5.2. КИС притежават издаден валиден сертификат по чл. 14, т. 2.

6. В ЗЗКИ се въвеждат следните изменения и допълнения по отношение на терминологията:

- термина „АИС или мрежи” се заменя с „КИС”;

- въвежда се определение за  „Граница на КИС”;

- въвежда се определение за „Междусистемна връзка”;

- въвежда се определение за „Механизъм за защита на границата”;

- въвежда се определение за „Информационна система от затворен тип”;

- въвежда се определение за „Kомпрометиращи електромагнитни излъчвания”;

- въвежда се определение за TEMPEST;

- въвежда се определение за „Контрамерки по TEMPEST”;

- отпадат термините „Автоматизирани информационни системи“ и „Автоматизирани информационни мрежи“.

Предлаганите изменения в ЗЗКИ ще доведат до косвени икономически въздействия върху бюджета на ДАНС. След приемане на промените ще е необходимо в ДАНС да бъде осигурен необходимия административен капацитет, изразяващ се в осигуряване на висококвалифициран персонал, поддържане на квалификацията му на необходимото високо експертно ниво чрез специализирани обучения и за осигуряване издръжка на персонала. Стойностно това ще възлиза на 188 000 лв. годишно. Финансови средства следва да бъдат осигурени за сметка на централния бюджет.

С осигуряването на свързаност на АИС за обработка на класифицирана информация с такива за некласифицирана информация или Интернет ще се предостави възможност за по-ефективно и ефикасно изпълнение на функционални задължения на ОЕ, включително по осигуряване на националната сигурност и отбраната на Р България и изпълнението конкретни задачи, свързани с членството в ЕС и НАТО (например при участие в съвместни мисии и/или операции). Редът за свързване на АИС или мрежи за обработка на класифицирана информация с такива за некласифицирана информация или Интернет ще бъде строго определен. 

Промяната на терминологията и въвеждането на нова ще доведе до значително облекчаване на процеса по акредитиране при свързване на две и повече системи за обработване на класифицирана информация, като осъществяването му ще доведе до по-ясен и разбираем за ОЕ процес по акредитиране, а също така ще се постигне синхронизиране с използваната терминология в ЕС и НАТО.


Дата на откриване: 18.1.2018 г.
Целева група: Всички заинтересовани
Сфера на действие: Външна политика, сигурност и отбрана
Дата на приключване: 16.2.2018 г.
Коментари
Коментари
Добави коментар
 
28 януари 2018 г. 20:21:16 ч.
lslilova

Коментар по редакцията на чл. 92 от ЗЗКИ

Във връзка с публикувания проект на ЗИД на ЗЗКИ, предоставям на внимонието на компетентните органи следните коментари, отнасящи се до §9, с който се правят промени в чл. 92 на ЗЗКИ.

Считам, че действащите в момента разпоредби на чл. 92 са коректни, в частта служителят по сигурността на информацията (ССИ) в организационната единица (ОЕ) да може да предлага на ръководителя на ОЕ да възлага на „назначени служители от административното звено по сигурността и охраната“ на функции по контрола за спазване изискванията за сигурност на АИС или мрежи, предвид разпоредбите на чл. 20, ал. 4, чл. 22, ал. 1 (вкл. т.3) и чл. 23 от ЗЗКИ, които определят йерархична подчиненост на тези служители от ССИ.

Предложената редакция на чл. 92, без мотивировка в доклада, разширява правомощията на ССИ да прави предложения за всички служители от ОЕ независимо от мястото на длъжността в структурата на ОЕ и йерархичната подчиненост.  Препратката в чл. 92, че реда и условията за възлагането са определени в наредбата по чл. 90, ал. 1, считам за недостатъчна, предвид това, че  ръководните и контролиращи органи на съответните служители ще фигурират, евентуално, в подзаконов нормативен акт без правомощия да предлагат, а ССИ ще предлага по силата на закон.

Допълнително, трябва да се вземат предвид и разпоредбите на чл. 21, ал. 2 и 3 и чл. 30, ал. 2 от Закона за държавния служител и чл. 2, ал. 1 , т. 5 и чл. 8 от Закона за администрацията.

Предвид посоченото по-горе, както и наличието на администрации, осъществяващи дейността си по специални закони, считам че различните специфики за служителите трябва да се уредят в подзаконовия нормативен акт и текста да приеме следната редакция: "Ръководителят на организационната единица, в която се използват КИС, назначава служители или възлага на назначени служители функции по контрола за спазване изискванията за сигурност на тези КИС, по реда и при условията, определени в наредбата по чл. 90, ал. 1."

07 февруари 2018 г. 22:47:49 ч.
ivanmihalev

Предложения

С настоящия проект за изменение и допълнение на ЗЗКИ се предлагат промени в чл. 9, т. 16, с които точката ще придобие вида "16. осъществява общ контрол по защитата на класифицираната информация, съхранявана, обработвана и предавана в комуникационни и информационни системи;". Навсякъде обаче в ЗЗКИ се използва формулировката "създаване, обработване, съхраняване и пренасяне на класифицирана информация". Със съществуващата и предлаганата редакция на чл. 9, т. 16, се пропуска думата "създаване", т. е., излиза, че класифицираната информация се появява от някъде, без да е била създадена. Това е очевиден абсурд.

Освен това, с изключение на чл. 9, т. 16, навсякъде в ЗЗКИ по отношение на КИС се използва термина "пренасяне", а не "предаване" на класифицирана информация.

Предвид гореизложеното, предлагам текстът на чл. 9, т. 16, да се измени на: "16. осъществява общ контрол по защитата на класифицираната информация, създавана, съхранявана, обработвана и пренасяна в комуникационни и информационни системи;".

С предложената промяна ще се постигне уеднаквяване на терминологията по отношение на КИС.

Подкрепям изложеното в коментара на lslilova, но предлагам един по-различен вариант: "Чл. 92. Ръководителят на организационната единица, в която се използват КИС, възлага по реда и при условията, определени с наредбата по чл. 90, ал. 1, функции по контрола за спазване на изискванията за сигурност на тези КИС, на служител по сигурността на КИС.". С тази редакция, в наредбата по чл. 90, ал. 1, може да се определи дали този служител ще бъде назначен или пък ще му бъдат възложени горните функции.

С предлаганата редакция на чл. 94 остава открит въпросът за изграждането на междусистемни връзки на КИС, предназначени за създаване, обработване, съхраняване и пренасяне на класифицирана информация и такива за чуждестрана класифицирана информация. В Мотивите е посочена необходимостта от взаимодействие със структури на НАТО и ЕС, което обаче не намира отражение в предложените промени.

За преодоляване на горния проблем, би могло към чл. 94 да се създаде алинея 5, със следния текст: "(5) Допуска се междусистемна връзка на КИС, предназначени за класифицирана информация до ниво „Секретно” включително, с КИС, предназначени за чуждестранна класифицирана информация със същото или различно ниво на класификация, определено по реда на чл. 29, както и към информационни системи от затворен тип, при условията, посочени в наредбата по чл. 90, ал. 1.".



Благодаря за вниманието!