МАТЕРИАЛИ

Алиансът BSA с „Периодичен преглед за киберсигурността в ЕС '2015“



Базираният във Вашингтон Софтуерен алианс BSA (The Software Alliance) е водещ застъпник пред националните правителства и пред международните организации за развитието на софтуерната индустрия. Членове на Алианса са множество иновативни компании от над 60 страни по целия свят, които работят в областта на информационните и комуникационните технологии. Целта на Алианса е да насърчава законосъобразното прилагане на софтуер и да се застъпва за подпомагане иновациите и растежа в областта на дигиталната икономика.

Във връзка със своята дейност Алиансът BSA предлага на вниманието своя Периодичен преглед за киберсигурността в ЕС, който се явява първото по рода си изследване за сигурността на информационните и комуникационните системи в Европейския съюз (ЕС). Целта е на съответните ресорни служители в администрацията на страните-членки на ЕС да бъде предоставена отправна точка и възможност за оценка на политиките в съответната държава, сравнени с нейните европейски съседи. Авторите на годишния преглед изхождат от разбирането, че в условията на днешния взаимосвързан свят новите комуникационни и информационни технологии са станали неразделна част от почти всички сектори на световната икономика – в т.ч. електронно банкиране, комуникации, енергетика – което освен своите безспорни ползи за обществото, води и до редица заплахи.

В изследването на BSA е приложена специфична методика, включваща оценка по 25 критерии, разпределени в 5 теми, което позволява от една страна да се проследи структурата на сигурността – съгласно дефинициите на експертите в BSA – и от друга страна да се проследи състоянието в съответната държава по всеки един от посочените критерии. От тук пътят към осъществяването на сравнителни анализи е отворен и се поставя в зависимост от нуждите на съответните държавни служители. Прегледът е базиран на публично достъпна информация (която не включва пряк контакт със съответните ресорни ведомства в изследваните държави) и резултатите са актуални към 01.01.2015 г.

По отношение на киберсигурността в България първата и основна констатация от прегледа е, че у нас правната рамка по този въпрос е силно ограничена – липсва нарочна Национална стратегия за киберсигурност, както липсват и формализирани публично-частни партньорства – независимо от значителния брой публични събития и академични дискусии, фокусирани върху киберсигурността и защитата на критична информационна инфраструктура. Като най-значима българска институция, ангажирана с проблемите на киберсигурността, се отчита CERT България, разпозната като проява на усилията от страна на правителството за укрепване на националната киберсигурност.

НОРМАТИВНА УРЕДБА

1. Наличие на Национална стратегия по киберсигурност

България няма национална стратегия за киберсигурност. Частично рисковете и мерките, свързани с киберсигурността, са разгледани в Стратегията за национална сигурност на Република България от 2011 г.

2. Година е приемане на Националната стратегия за киберсигурност

(неприложимо)

3. Наличие стратегии или планове за действие при защита на критичната инфраструктура

България не разполага със стратегии или планове за действие при защита на критичната инфраструктура. Законът за защита при бедствия (обн. Д.В. бр. 102 от 19.12.2006 г.) дава легално определение на „Критична инфраструктура“ (§1, т. 15 от ДР към ЗЗБ – бел. www.Advocati.org).

4. Наличие на закони и политики, изискващи изготвянето на План за информационна сигурност

В България не съществува законодателство или друго формално изискване за изготвянето на План за информационна сигурност.

5. Наличие на закони и политики, изискващи на системи за класифицирана информация?

Законът за защита на класифицираната информация (Обн. Д.В. бр. 45 от 30.04.2002 г.) изисква класифициране на информацията, чието разкриване може да представлява заплаха за суверенитета, външната политика или националната сигурност на България. Чл. 28 от ЗЗКИ очертава 4-степенна система на диференциране на нивата на класификация. Нивата се определят в зависимост от степента на риска за разкриване на съответната класифицирана информация (по чл. 28, ал. 4 от ЗЗКИ са предвидени и допълнителни нива на сигурност, надхвърлящи 4-степенната система, отбелязана в прегледа – бел. www.Advocati.org).

6. Наличие на закони и политики, изискващи симетрични на риска нива на сигурност

ЗЗКИ определя различните практики за сигурност на информацията, в т.ч. съхраняване на класифицираната информация, условия за лимитиран достъп, процедури за проверка за сигурност на физическите лица, които искат допуск до класифицирана информация на съответинте нива на секретност. Нивата на секретност са определени в чл. 28 от ЗЗКИ и се определят в зависимост от степента на риска от разкриване на съответната класифицирана информация.

7. Наличие на закони и политики, изискващи (поне) годишен одит на киберсигурността

В България няма официално изискване за осъществяването на годишен одит на киберсигурността. В чл. 7, ал. 1 от ЗЗКИ е определено председателят на Държавната комисия по сигурността на информацията (ДКСИ) да представя годишен доклад пред Министерския съвет (МС) относно цялостната дейност по състоянието на защитата на класифицираната информация. В чл. 7, ал. 2 от ЗЗКИ е определено МС да представя доклада на председателя за приемане с решение от Народното събрание (НС). Това обаче не включва специфично изискване за одит на киберсигурността. (Допълнително – в чл. 7, ал. 3 от ЗЗКИ председателят на ДКСИ се задължава да предоставя еднаква по обем и съдържание информация за дейността на ДКСИ на председателя на НС, президента и министър-председателя – бел. www.Advocati.org)

8. Наличие на закони и политики, изискващи публичен доклад за капацитета на правителството относно киберсигурността

В България няма официално изискване за изготвянето на публични доклади относно правителствения капацитет за осигуряване на киберсигурност

9. Наличие на закони и политики, изискващи всяко държавно ведомство да поддържа Отговорник по информацията (Chief Information OfficerCIO) или Отговорник по сигурността (Chief Security OfficerCSO)

В България няма официално изискване за това всяко държавно ведомство да поддържа Отговорник по информацията или Отговорник по сигурността.

10. Наличие на закони и политики, изискващи задължително докладване на инциденти в киберсигурността

В България няма официално изискване за задължително докладване на инциденти в киберсигурността.

11. Наличие на закони и политики, включващи подходящо определение за „защитата на критична инфраструктура“ (Critical Infrastructure ProtectionCIP)

В ЗЗБ е включена легална дефиниция [само] за „критична инфраструктура“ (и за „европейска критична инфраструктура“, но не и за нейната/тяхната защита – бел. www.Advocati.org).

12. Наличие на изисквания при възлагането на обществени и частни поръчки за покриване на стандарти в прилагането на решения относно киберсигурността и за международна сертификация на изпълнителите

В България няма официално наложени стандарти в областта на киберсигурността или такива за сертификация на изпълнителите.

ОПЕРАТИВНИ ЗВЕНА

1. Наличие на Национално звено за реакция при компютърни инциденти (Computer Emergency Response TeamCERT) или на Национално звено за реакция при инциденти в компютърната сигурност (Computer Security Incident Response TeamCSIRT)

CERT България (Център за действие при инциденти в информационната сигурност) е отговорен за координация на мерките за сигурност и реакция на инциденти в държавните институции на България. Информацията за точния обхват на дейността  на Центъра не е [публично] достъпна.

2. Година на създаване на Центъра за действие при компютърни инциденти

2008

3. Наличие на Национален компетентен орган за мрежова и информационна сигурност (Network and Information SecurityNIS)?

Държавната комисия по сигурността на информацията (ДКСИ), чийто състав и задължения са определени в ЗЗКИ, действа като Национален компетентен орган за мрежова и информационна сигурност в България.

4. Наличие на платформа за докладване и събиране на данни за инциденти в киберсигурността

CERT България поддържа услуга за докладване на инциденти в киберсигурността, но тя е достъпна само за държавните ведомства, които трябва да се регистрират, за да я използват.

5. Провеждане на Национални учения по киберсигурността

В България е проведено Национално учение по киберсигурността „PHOENIX“ през 2010 г. (По-конкретно – Националното компютърно подпомагано командно-щабно учение „Феникс 2010“ е проведено между 15 и 19.11.2010 г. в Националния военен учебен комплекс „Чаралица“ и във Военна академия „Г. С. Раковски“, при участието на над 200 представители на 20 основни държавни институции и 11 международни организации – с цел тестване и усъвършенстване на стандартните оперативни процедури за действие при извънредни ситуации, стабилизация и възстановяване на национално ниво и в среда на международно взаимодействие; за първи път в национален мащаб са използвани компютърни симулационни системи и модели – с учебен ценарий, включващ прогресивно влошаваща се ситуация в резултат на бежанска вълна, природно бедствие и терористичен акт – бел. www.SwitchFree.eu)

6. Наличие на Национално звено за управление на инцидентите (National Incident Management StructureNIMS) за реакция при инциденти в киберсигурността

В България няма Национално звено за управление на инцидентите, което да реагира в случай на инцидент в киберсигурността. В случай на инцидент, свързан с киберсигурността, CERT България трябва да подаде общ сигнал за тревога и предупреждение. ЗЗКИ и Правилникът за неговото прилагане очертава координираните действия на ДКСИ в случай на заплаха или пробив в сигурността на информацията – което в случай на осъществен нерегламентиран достъп до строго секретна информация включва директно докладване до министър-председателя (чл. 9, т. 13 от ЗЗКИ – бел. www.Advocati.org). Последното не се отнася до инциденти, свързани с функционирането на самата ДКСИ.

ПУБЛИЧНО-ЧАСТНИ ПАРТНЬОРСТВА

1. Наличие на публично-частни партньорства по киберсигурността

В България няма установени публично-частни партньорства по киберсигурността. Вместо това страната се стреми да разшири ролята на CERT България в поддържането на връзки и насърчаване на сътрудничеството между публични и частни организации. Центърът за мениджмънт на сигурността и отбраната (ЦМСО), баризан на Българската академия на науките (БАН), представлява академичен център, работещ в тясно сътрудничество с различни държавни ведомства, които консултира и обучава.

2. Наличие на индустрии и бизнеси, организирани в съвети по киберсигурността

В България няма специални ръководени от индустрите и бизнесите съвети по киберсигурността. Въпреки това, Българска асоциация на разработчиците на софтуер (БАРС), явяваща се застъпник за професионалното развитие на българските софтуерни специалисти и разработчици, както и Българската асоциация по информационни технологии (БАИТ), явяваща се една от най-големите браншови организации в сферата на информационните и комуникационни технологии в България, се ангажират с проблемите на киберсигурността и информационна сигурност като част от своите редовни задължения. Успоредно с това, България е домакин на Регионалния форум по киберсигурност и киберпрестъпност за държавите от Югоизточна Европа (чието трето издание се проведе в гр. София между 11 и 13.11.2013 г. – бел. www.SwitchFree.eu).

3. Наличие (или план за установяване) на нови публично-частни партньорства по киберсигурността

В България не са открити данни за нови публично-частни партньорства по киберсигурността.

СЕКТОРИ ПЛАНОВЕ

1. Наличие на съвместен план за публичния и частния сектор във връзка с киберсигурността

В България няма специфични за сектора планове за съвместни публично-частни действия по киберсигурността.

2. Наличие на дефинирани специфични секторни приоритети по киберсигурността

В България няма дефинирани специфични секторни приоритети по киберсигурността.

3. Наличие на провеждани тестове и оценки на специфичните за сектора рискове пред киберсигурността

В България [поне] до 2014 г. не са провеждани тестове и оценки на рисковете пред киберсигурността.

ОБРАЗОВАНИЕ

1. Наличие на образователна стратегия за укрепване на знанията относно киберсигурността и за повишаване обществената информираност от най-ранна възраст

В България образованието е идентифицирано като една от основните цели на политиката по киберсигурността през 2010 г. (изказване на действалия по онова време заместник-министър на отбраната Кирил Радев, останало без особени последствия – бел. www.SwitchFree.eu). Въпреки това няма данни да са положени някакви значителни усилия за разширяване на образоваността относно киберсигурността в училищата или в други образователни институции.


 
back to top