Съответствие с НМИМИС

ЗАЩО Е НЕОБХОДИМО СЪОТВЕТСТВИЕ ?

На 6 юли 2016 г. Европейският парламент одобри първият закон за киберсигурност в Европейския съюз: Директивата за мрежова и информационна сигурност (NIS). Целта на директивата е да се постигне по-високо общо ниво на сигурност на мрежовите системи и информационни в рамките на ЕС, с помощта на:

  • Подобряване на възможностите за киберсигурност на национално ниво;
  • Подобряване на сътрудничеството на европейско равнище;
  • Управление на риска и задължения за докладване на инциденти към оператори на основни услуги и доставчиците на цифрови услуги;

Тази директива е транспонирана в Република България като Закон за киберсигурност (ЗКС), приет на 31.10.2018 година. Чрез този закон се поставят основните на рамките и процесите, който трябва да доведат до значително подобряване на киберсигурността в конкретни организации, чието функциониране е критично: административни органи, оператори на съществени услуги, доставчици на цифрови услуги, лица, осъществяващи публични функции и организации, предоставящи обществени услуги. Със закона се изгражда и административната структура, като например централизираните ЕРИКС – Екипи за Реагиране на Инциденти с Компютърната сигурност.

Също така в закона се въвеждат и наказателни разпоредби, като глоби от 1 000 до 10 000 лв. при забавяне на уведомление за настъпил киберинцидент над 2 часа, както и лична отговорност (от 1 000 до 10 000 лв. ) за длъжностно лице, извършило или допуснало нарушения.

Наредба за Минималните Изисквания за Мрежова и Информационна Сигурност

През юли 2019 г е приета и Наредбата за минималните изисквания за мрежова и информационна сигурност ( НМИМИС ), която надгражда изискванията на ЗКС с конкретни изисквания за бизнес процеси, свързани с управлението на Информационната сигурност, минимални контролни дейности, както и специфични технически изисквания към информационните системи. НМИМИС влиза в сила незабавно и ДАЕУ е изготвила и публикува на сайта си график за проверките, които ще бъдат извършвани в организациите, които трябва да спазват НМИМИС.

НМИМИС поставя няколко изисквания в организацията, като могат да бъдат разделени най-общо на организационни и технологични мерки.  Главната цел на тези мерки  е да се сформира програма за управление на информационната сигурност, да се осигури адекватното ѝ изпълнение, като се отделят необходимите ресурси и се осъществява последващ контрол. Също така при правилно проектиране и прилагане на мерките организацията ще получи по-добра видимост върху информационните технологии и процеси, по-добър контрол върху ресурсите и наблюдение на ефективността, което от своя страна може да доведе до подобряването ѝ.

Структурата на мерките следва формата на установеният стандарт за управление на информационната сигурност ISO 27001 с няколко важни изключения – НМИМИС допуска само вътрешен одит, както и не се извършва сертификация спрямо наредбата.

Важна обща черта е, че съответствието не е еднократен процес, а е динамично състояние, което изисква поддържане. Заложеният в НМИМИС минимален срок на преглед, преоценка и адаптиране на мерките е една година, което съответства на добрите практики. Също така голямата част от технологичните мерки, включително наблюдението, трябва да работят непрекъснато, поради изискването за докладване на инцидент в рамките на 2 часа.

Организационни изисквания

Организационните мерки спрямо изискванията на НМИМИС трябва да бъдат въведени чрез т.нар. “top-down” подход, тоест чрез ангажираност на ръководството на организацията и изричната подкрепа на въвежданите мерки. Ръководството трябва да организира вътрешни одити на въведените мерки минимум веднъж годишно.

  • Определен служител или административно звено, отговарящо за информационната сигурност;
  • Опис на информационните активи, включително схеми и диаграми на свързването им;
  • Въведена политика за сигурност, включително вътрешни правила за служителите;
  • Класификация на информацията според нейната конфиденциалност и риск;
  • Документирана оценка на риска, която да бъде използвана за избор на адекватно ниво на мерките;
  • Управление на жизненият цикъл на информационните системи;
  • Управление на жизненият цикъл на информационните активи;
  • Изисквания по отношение на информационна сигурност към човешките ресурси;
  • Взаимодействие с трети страни – партньори, доставчици и подизпълнители;
  • Управление на измененията;
  • Управление на устройствата в инфраструктурата на клиента;
  • Управление на криптографските средства;
  • Управление на потребителите и логическият достъп;
  • Управление на привилегированият достъп;
  • Управление на отдалеченият достъп;
  • Управление на използваният софтуер и версиите;
  • Управление на конфигурациите;
  • Управление на инцидентите;
  • Управление на резервирането и архивирането на информация;
  • Планове за непрекъсваемост на дейността при бедствия и аварии и др.
Технологични изисквания

Технологичните мерки на НМИМИС налагат конкретни изисквания към необходими функционалности на информационните системи на организацията. Тези изисквания могат да бъдат приложени или чрез подходящо конфигуриране, където е възможно, така и чрез въвеждане на нови информационни системи в зависимост от това кой подход би бил по-ефективен и ефикасен:​

  • Сегрегация на информационните системи;
  • Филтриране на трафика;
  • Технологичните аспекти на управление на устройствата в инфраструктурата на клиента;
  • Обособена среда за администриране;
  • Изисквания за конкретни протоколи при публичен достъп до информационни системи;
  • Изисквания за конкретни протоколи при отдалечена работа;
  • Конкретни технологични изисквания за конфигурация на системите – забрана на макроси, изключване на Autoplay, конфигурация на uRPF, TLS и други;
  • Защита от зловреден софтуер;
  • Защита на web сървърите чрез сертификат за криптиране, въвеждане на TLS 1.2 и 1.3 и други;
  • въвеждане на защитна стена, която да филтрира трафика – Web Application Firewall;
  • Защита на използваните DNS сървъри;
  • Физическа защита на информационните активи чрез подходящи технически средства;
  • Съхраняване и анализ на журналните записи (log файлове) от системите;
  • Система за наблюдение на събития в информационните активи (SIEM).

Необходимо е да се отбележи, че при въвеждането на НМИМИС трябва да се съобразят също така изискванията на други приложими нормативни актове, като например Закон за защита на личните данни, който въвежда изискванията на Европейската регулация GDPR или 679/2016. Най-лесният и ефективен начин е това да стане още на ниво проектиране на мерки, тъй като по своята същност мерките за защита на личните данни са мерки за информационна сигурност на данни с определена класификация – лични данни.

Ако искате да разберете повече за нашият подход при изграждането на съответствие с НМИМИС – свържете се с нас.