NIS 2 – покритие от nVision:

Проекто наредба, която не е окончателно финализирана. Възможно е някои от членовете да претърпят промени

Документирана информация

Чл.5. (1) За намаляване на загубите от инциденти чрез намаляване на времето за реагиране и разрешаването им, както и за намаляване на вероятността от възникване на инциденти, породени от човешки грешки, Субектът поддържа следната документация:
  1. опис на информационните активи;
  2. физическа схема на свързаност;
  3. логическа схема на информационните потоци;

Управление на информационните активи

Чл.8. (1) Субектът приема вътрешни правила по смисъла на чл.5, ал.1, т.6, регламентиращи процеса на управление на жизнения цикъл на информационните и комуникационните системи и техните компоненти. Вътрешните правила трябва еднозначно да указват условията, начина и реда за придобиване, въвеждане в експлоатация, поддръжка, преместване/изнасяне, извеждане от експлоатация и унищожаване на информационни и комуникационни системи и техните компоненти. (2) Описът на информационните активи по смисъла на чл.5, ал.1, т.1 съдържа информация, необходима за разрешаването на инциденти, анализ и оценка на риска, управление на уязвимости и управление на измененията, като:
  1. еднозначна идентификация, като инвентарен, сериен номер или др.;
  2. основни характеристики;
  3. услуги, процеси и дейности, в които участва;
  4. местоположение;
  5. година на производство, където е приложимо;
  6. дата на въвеждане в експлоатация, където е приложимо;
  7. версия, където е приложимо;
  8. местонахождение на свързаната с него документация (техническа, експлоатационна, потребителска и др.);
  9. отговорно лице.

Управление на информационните активи

Чл.11. (1) Субектът приема вътрешни правила за управление на измененията във важните за дейността му информационни активи в съответствие с изискването на чл. 5, ал. 1, т. 6 с цел намаляване на риска от инциденти, настъпили в резултат на изменения във важните за дейността му информационни активи, и по-точно в информационните и комуникационните системи и обслужващата ги инфраструктура, в процесите и дейностите, в конфигурациите, в софтуера или във фърмуера.

Неоторизирано използване на устройства

Чл. 15. (1) Субектът приема ясно дефинирани политики относно използването на:
  1. лични технически средства в мрежата, която контролират;
  2. преносими записващи устройства.
(2) Политиките се отразяват във вътрешните правила, като се предприемат подходящи и реципрочни на заплахите мерки за реализирането им

Управление на достъпите

Чл. 19. Субектът е длъжен да дава достъп до информационните и комуникационните си системи на потребител или автоматизиран процес само когато този достъп е строго необходим на потребителя, за да изпълни задълженията си, или на автоматизирания процес да извърши необходимите технически операции. За да гарантира, че достъп до информационните и комуникационните му системи имат само оторизирани потребители, устройства (включително други информационни системи) и автоматизирани процеси, Субектът:
  1. във вътрешните си правила по смисъла на чл. 5, ал. 1, т. 6 определя: а) правата на достъп до конкретни информационни активи на служителите според длъжността им; б) реда за заявяване, промяна и прекратяване на достъп;
  2. прилага задължителни мерки за автентикация, оторизация и одит на компютърните мрежи и системи, които включват и изисквания за определена сложност на данните за автентикация; ако се използват пароли: а) те следва да съдържат малки и големи букви, цифри и специални символи; б) дължината им трябва да е не по-малко от8 символа за потребителските и 12 символа за администраторските профили; в) паролите на потребителските акаунти трябва да се сменят регулярно на период не по-голям от шест месеца;
  3. гарантира, че потребителските профили са индивидуални; в ежедневната работа трябва да се използват профили с най-ниското ниво на достъп, което дава възможност за изпълнение на служебните задължения;
  4. гарантира, че лицата, имащи право да заявяват даване, променяне и спиране на достъп, определени във вътрешните правила по т. 1, буква “б”, правят редовни прегледи на достъпите, но не по-рядко от веднъж в годината; при тези прегледи се установява дали всички, на които е даден достъп до мрежата, до отделните системи и/или приложения, имат право на него в съответствие със служебните им задължения, дали външни лица имат достъп и какъв е той (бивши служители, представители на трети страни); за целите на прегледите администраторите на съответните информационни и комуникационни системи предоставят на оправомощените във вътрешните правила по т.1, буква “б” лица списък на всички, които имат достъп до системата и нивото на достъпа, а оправомощените лица документирано потвърждават или дават указания за промяна;
  5. ограничава даването на привилегирован достъп (по-високо ниво на достъп или достъп до система, до която лицето не трябва да има достъп в съответствие с вътрешните правила по ал.1); привилегированият достъп трябва да се дава само за определен период и да се контролират действията с него;
  6. гарантира, че достъпът до споделени файлове и принтери е разрешен само от мрежата, контролирана от Субекта

Защита при отдалечен достъп/работа от разстояние

Чл.20. При необходимост от достъп до информационни активи извън мрежата, контролирана от Субекта, се спазват изискванията на чл. 19, включително:
  1. се използват само канали с висока степен на защита като Virtual Private Network (VPN),която е вградена функционалност на програмата.

Защита на хардуерни устройства

Чл. 21. (1) За намаляване на риска от инциденти, предизвикани от технически повреди,

Субектът:

  1. осигурява климатико-механичните условия, указани от производителя, чрез въвеждане на датчици в проргамата;
  2. осъществява наблюдение на параметрите на условията по т. 1;

Наблюдение

Чл.28. (1) Субектът използва система/системи за автоматично откриване на събития, които могат да повлияят на мрежовата и информационната сигурност на важните за дейността му системи, чрез анализ на информационни потоци, протоколи и файлове, преминаващи през ключови устройства, позиционирани така, че да могат да анализират всички потоци, обменяни между собствените им информационни и комуникационни системи, както и с информационните и комуникационните системи на трети страни.

Системни записи (logs)

  1. В nVision се регистрират автоматично всички събития, които са свързани най-малко с автентикация на потребители, управление на профилите, правата на достъп, както и каквито и да са промени в правилата за сигурност и функциониране на информационните и комуникационните системи.
  2. Информацията се архивира и се съхранява за период не по-малък от дванадесет месеца  при спазване на изискванията на чл. 32;

Управление на инциденти с мрежовата и информационната сигурност

Чл.30. (1) Във вътрешните правила по смисъла на чл.5, ал.1, т.6 се регламентират всички дейности при обработката на сигнали и реакция при инциденти.

(2) Вътрешните правила по ал. 1 съдържат:

  1. реда за подаване на сигнали за настъпили или потенциални събития, оказващи негативно влияние върху мрежовата и информационната сигурност;
  2. информация за лицата, отговорни за регистъра на инцидентите;
  3. реда за регистриране на сигнала, проверката на неговата достоверност, класифицирането му, приоритизирането му и последващото уведомяване за това на подателя;
  4. реда за уведомяване за инцидента (функционална и йерархична ескалация);
  5. реда за подаване на информация за начина за разрешаване на инцидента;
  6. реда за приключване на инцидента;
  7. процеса за събиране, съхраняване и предаване на доказателства, когато инцидентът предполага извършването на процесуални действия срещу лице или организация, включително необходимите за това записи; правата на достъп до регистъра на инцидентите

Уведомяване за инциденти

Чл.31. (1) При инцидент с мрежовата и информационната сигурност служителят или административното звено, отговарящо за мрежовата и информационната сигурност по смисъла на чл.3, ал.2, уведомяват съответния секторен екип за реагиране при инциденти с компютърната сигурност за инцидентите в сроковете, посочени в чл.21, ал.4 и5 и чл.22 от Закона за киберсигурност.

(2) За уведомяването по ал.1 и по чл. 17, ал.7 от Закона за киберсигурност се използва формата, посочена в приложение № 7.

(3) При изпълняване на изискването на чл.17, ал.8 от Закона за киберсигурност секторните екипи за реагиране при инциденти с компютърната сигурност изпращат обобщената статистическа информация за инциденти към националния екип за реагиране при инциденти с компютърната сигурност, като използват формата, посочена в приложение № 8.

(4) В случай че информацията по ал. 2 и 3 се изпраща по електронна поща, тя трябва да е

  1. подходящо защитена от неоторизиран достъп и да е класифицирана съгласно чл. 6, ал. 7.
Изпрати на приятел