проект на Инструкция за изменение на ИНСТРУКЦИЯ № И-5 от 5.09.2017 г. за условията и реда за организиране,поддържане и достъп до електронния регистър на военнослужещите и цивилните служители – „Автоматизирана система за управление на човешките ресурси”

2020-10-15T14:58:23+03:00

Област на политика: Държавна администрация

Срок за коментари: 07.06.2024

Институция: Агенция за публичните предприятия и контрол

Вид акт: Акт на орган извън изпълнителната власт

Описание: описание пак и пак

Начало на обществената консултация

2020-10-15T00:00:00+03:00

Приключване на консултацията

2020-11-13T00:00:00+02:00

Справка за получените предложения

2020-11-18T00:00:00+02:00

Коментар #6 от Иван Михалев

2023-12-17T15:58:25+02:00

Коментар 4

Предложение за промяна на §19:

В чл. 49 да се направят следните изменения и допълнения:

Да се създаде нова т. 2 с текст: "2. В ал. 1 думата "началника" се заменя с "командира"."

Досегашната т. 2 да стане т. 3, като текстът се промени на: „(2) Писма-заявките по ал. 1 могат да бъдат и електронни, като в този случай могат да се изготвят от упълномощено/и от ръководителите на съответните структури или командирите/началниците на военни формирования лице/а.“

Мотиви: На практика, ръководителите/ командирите/ началниците много рядко (да не кажа никога), ще изготвят такива заявки. По-добре да се узакони такава възможност, така както е в изменения чл. 50;

Предложение за промяна на §21:

Текстът на чл.51 да се измени така: "Чл.51. Администраторът по сигурността на АСУ на ЧР създава на сървъра акаунт за свързване към системата на новия потребител (отразява промените в правата му)”."

Мотиви: по причина на посочената в преден коментар връзка, между акаунт и потребителско име и парола;

Предложение за промяна на §23:

В чл.54, ал 1 думите "командирът (началникът)" да се заменят с думите "командирът/началникът".

Мотиви: в скоби се поставя поясняващ текст, а с "/" се посочват/разделят алтернативи, както в случая;

Текстът на чл.54, ал. 1, т. 1 да се измени така: "1. Командирът на военно формирование 26340 – София, за подсистема "Труд и работни заплати" (Приложение № 3);"

Мотиви: както е посочено в преден коментар за същия казус;

Текстът на чл. 54, ал. 2 да се измени така: "(2) Заявките по ал. 1 могат да бъдат и електронни, като в този случай могат да се изготвят от упълномощено/и от ръководителите на съответните структури или командирите/началниците на военни формирования лице/а.“

Мотиви: както при чл. 49;

Предложение за промяна на §24:

Текстът на чл. 59, ал. 1 да се измени така: "Чл. 59. (1) Достъпът до работните станции по чл. 55 и чл. 56 на длъжностни лица от структурите или военните формирования, в които няма осигурен достъп до ресурсите на КИС "ЩИТ", се разрешава при наличие на съответните акаунти за достъп на лицата до КИС „ЩИТ“ и АСУ на ЧР.

Мотиви: В НСКИС терминът "АРМ" е заменен с "работна станция", а предложения текст дефинира по-точно изискванията за достъп. Във връзка с отпадането на термина "АРМ", следва да се извършат промени в заглавието на Раздел III и чл. 55 до чл. 59;

Следващите коментари касаят всички приложения:

1. Потребителското име в КИС "ЩИТ" е чувствителна информация. На практика, в заявките се съдържа информация, която е част от регистъра на потребителите на КИС "ЩИТ" в съответното военно формирование, който от своя страна е класифициран. При положение, че акаунтите за достъп до АСУ на ЧР се конфигурират на сървърите на системата и нямат връзка с тези в КИС "ЩИТ", следва да се прецени необходимостта от включване на тази информация в зявката.

2. Във всички заявки, думите "До Началника" в началото на зявката, да се заменят с думите "До командира". Съгласно граматичните правила на българския език, думата "командира" (или "началника"), следва да се изписва с малко "к" ("н"). Друг вариант е, целият текст да е с главни букви, което е по-близо до възприетите в МО писмени форми.

Коментар #5 от Иван Михалев

2023-12-17T15:58:25+02:00

Коментар 3

Навсякъде в предишните ми коментари думата "Текстъ", да се чете "Текстът".

Предложение за промяна на §14:

Текстът на чл. 44, т. 5 да се измени така: „5. да отпечатват и съхраняват документи (сведения, справки и др.) от АСУ на ЧР, съгласно действащата нормативна уредба и процедурите за сигурност на КИС "ЩИТ";“.

Мотиви: Редът за отпечатване се регламентира в документите по сигурността на КИС "ЩИТ", част от която е АУС на ЧР.

Предложение за промяна на §15:

Текстът на чл. 45, ал. 1 да се измени така: "Чл. 45. (1) Потребител на АСУ на ЧР е длъжностно лице от състава на Министерството на отбраната, структурите на пряко подчинение на министъра на отбраната или Българската армия, което:"

Мотиви: замяната на "и" с "или" се предлага поради това, че става въпрос за алтернативни варианти, а не за кумулативно изискване лицето да е едновременно от трите състава;

Текстът на чл. 45, ал. 1, т. 1 да се измени така: "1. има издадено разрешение за достъп до най-високото ниво на класификация за сигурност на информацията в КИС "ЩИТ";"

Мотиви: съгласно изискванията на чл. 12, т. 1 от НСКИС;

Текстът на чл. 45, ал. 1, т. 2 да се измени така: "2. е преминало обучение в областта на сигурността на КИС "ЩИТ" и е запознато със своите права и задължения, определени в настоящата наредба;"

Мотиви: съгласно изискванията на чл. 12, т. 2 от НСКИС, а по отношение на АСУ на ЧР - изискванията за сигурност са описанив Наредбата и документът следва да се познава, а не да се провежда обучени за запознаване със съдържанието му;

Текстът на чл. 45, ал. 2 да се измени така: "(2) Достъпът на потребителите до услугите на АСУ на ЧР и отделните обекти от базата данни се разрешава {или конфигурира} единствено от администратора по сигурността на АСУ на ЧР въз основа на определените им права, съгласно писмо-заявка по реда на чл. 49.“

Мотиви: достъп се дава, разрешава или конфигурира, но не се "въвежда";

Коментар #4 от Иван Михалев

2023-12-17T15:58:25+02:00

Коментар 2

Предложение за промяна на §12. Текстът на чл. 43, т. 1 да се измени така:

„1. администрира системното програмно осигуряване на сървърите на АСУ на ЧР;"

Мотив: за да се разграничат администраторите на АСУ на ЧР от системните администратори на останалите сървъри в КИС "ЩИТ"

Текстът на чл. 43, т. 2 да се измени така: "2. администрира базите от данни на АСУ на ЧР;"

Мотиви: Да се разграничат дазите от данни на АСУ на ЧР от други бази данни в КИС "ЩИТ"

Текстът на чл. 43, т. 6 да се измени така: "6. следи за работоспособността на системата и дава препоръки за повишаване на ефективността;"

Мотиви: "съображения" могат да бъдат излагани, споделяни и др. подобни, но не и "давани", а дори и в този вид, текстът е достатъчно ясен и точен;

Текстът на чл. 43, т. 7 да се измени така: "7. носи отговорност за коректното и внимателно прилагане на своите системни пълномощия и привилегии.“

Мотиви: НСКИС не предвижда предоставяне на "извънредни" права/пълномощия/привилегии. Освен това, посочените тук права и задължения не са нещо извънредно, за един администратор.

Предложения за промени в §13:

Текстъ на чл. 43а., т. 1 да се измени така: "1. предоставя достъп на потребителите, като създава акунти в АСУ на ЧР, в съответствие с определените им права;"

Мотиви: да се конкретизира къде се създават акаунтите;

Текстъ на чл. 43а., т. 1 да се измени така: "2. води регистър, в който поддържа актуален списък на потребителите на АСУ на ЧР;"

Мотиви: да се конкретизира, че става въпрос за потребители на АСУ на ЧР, а не такива на КИС "ЩИТ";

Текстъ на чл. 43а., т. 7, последно тире, да се измени така: "- управлява, наблюдава и анализира свързаните със сигурността одитни записи на АСУ на ЧР и осигурява тяхното резервиране и съхраняване."

Мотиви: да се конкретизира, че не става въпрос за КИС "ЩИТ", част от която е АСУ на ЧР;

Текстъ на чл. 43а., т. 8 да се измени така: "8. при възникване на събитие, представляващо заплаха от компрометиране, загуба на достъпност и/или цялостност на информацията в АСУ на ЧР, предприема необходимите мерки за защита на информацията;

Мотиви: да се конкретизира, че става въпрос за АСУ на ЧР, а не за КИС "ЩИТ";

Текстъ на чл. 43а., т. 9 да се измени така: "9. носи отговорност за коректното и внимателно прилагане на своите извънредни пълномощия и привилегии.“

Мотиви: както за системния администратор;

Коментар #3 от Иван Михалев

2023-12-17T15:58:25+02:00

Коментар 1

Предложение за промяна на §3. В чл. 6 се създава изречение второ:

Текстът да бъде: „Достъп до АСУ на ЧР се предоставя на администратори по сигурността, администратори или потребители на КИС „ЩИТ“, с възложени функции или предоставени права, по реда на Наредбата за сигурността на комуникационните и информационните системи (НСКИС).“

Мотиви: Поради факта, че сървърите и работните станции, които осигуряват функционирането на АСУ на ЧР, фактически (и физически) са част от КИС "ЩИТ", акредитират се по реда на НСКИС като елементи на тази КИС и следва да изпълняват първо изискванията на документите по сигурността на КИС "ЩИТ", и едва след това тези на АСУ на ЧР.

Във връзка с горното, следва да се промени и текстът на сегашния чл. 6, като думите "използва преносната среда" се заменят с "функционира в средата".

Предложение за промяна на §4. Чл. 9, т. 1 да се измени така:

„1. достъпът до системата се осъществява с персонален акаунт (потребителско име и парола) за всеки потребител;"

Мотив: персоналния акаунт е по-общо, събирателно понятие и се идентифицира с потребителското име и паролата.

Предложение за промяна на §7. Предложеният текст на Чл. 37 да стане ал. 1

Да се създаде ал. 2, с текст: "(2) Длъжностните лица по ал. 1, т. 1 и т. 2, трябва да са с възложени функции на администратори по сигурността или администратори на КИС "ЩИТ", по реда на НСКИС."

Мотиви: Съгласно НСКИС, администрирането в КИС се извършва от администратори по сигурността и администратори (приложни, мрежови и др.) на КИС. Тъй като АСУ на ЧР е част от КИС "ЩИТ", то админстраторите на АСУ на ЧР, следва да са с възложени функции на администратори по сигурността или администратори, по реда на НСКИС, за да имат право да администрират сървъри, бази данни, приложения и т. н.

Предложение за промяна на §8. Текстът да стане "В чл. 38 думите „централния сървър“ се заменят с „АСУ на ЧР“, а думата "началника" се заменя с "командира"."

Мотиви: "началника" всъщност е "командир". Такава промяна трябва да бъде извършена и във всички други текстове на Наредбата, където има такова несъответствие.

Предложение за промяна на §9. Текстът на чл. 39 да се измени така:

„Чл. 39. Администраторът по сигурността на АСУ на ЧР се назначава със заповед на командира на военно формирование 26340 - София.“

Мотив: навсякъде другаде в Наредбата се използва предложеното тук изписване;

Коментар #2 от Мариела Димчева

2023-12-17T15:58:25+02:00

Пропуски

1. Необходимо е добавяне на нова преходна разпоредба, която да уреди статута на досега заявените (към датата на вилизане в сила на Инструкцията) достъпи до АСУ на ЧР;

2. С какво ниво на достъп до информация в АСУ на ЧР ще бъдат потребителите, получили достъп по старите заявки, спрямо тези - по приложения 1 и 2 – „Служебно ползване“ или „Поверително“ от проекта на Инструкция за изменение на Инструкция № И-5.

Коментар #1 от Румен Русинов

2023-12-17T15:58:25+02:00

Синхронизиране на И-5 с други вътрешно ведомствени актове

С цел синхронизиране с "Концепция за сигурността на обработването и защитата на личните данни в МО, СППМО и БА" и във връзка с приложените организационни и технически мерки за защита на личните данни в МО, СППМО и БА предлагам:

1. чл. 41 да не се отменя, а да се промени в "локален администратор по сигурността на АСУ на ЧР ....."

2. чл. 43а, т.2 да се промени в "води регистър за отчитане на потребителите на информационната система за лични данни "

3. чл. 45, ал. 1, т.2 да се промени в "е преминало първоначален инструктаж на лица допуснати до работа с информационни системи за лични данни"

4. в "Писмо заявка за предоставяне на достъп до ИС "ТРЗ“ думите „подсистема“ да се заменят със „система" – официално МО ги е обявило като две различни системи.