Процедура "Предоставяне на услуги при създаване на СФС на КИ за организационните единици в МО, БА и структурите на пряко подчинение на Министъра на отбраната"

logo

ОТДЕЛ “КОМУНИКАЦИОННИ И ИНФОРМАЦИОННИ СИСТЕМИ И ЗАЩИТА НА ИНФОРМАЦИЯТА”

 

КИСЗИ ПР 07-01/2013

ПРОЦЕДУРА

ПРЕДОСТАВЯНЕ НА УСЛУГИ ПРИ СЪЗДАВАНЕ НА СИСТЕМИ ЗА ФИЗИЧЕСКА СИГУРНОСТ НА КЛАСИФИЦИРАНАТА

ИНФОРМАЦИЯ ЗА ОРГАНИЗАЦИОННИ ЕДИНИЦИ В МИНИСТЕРСТВОТО

НА ОТБРАНАТА, БЪЛГАРСКАТА АРМИЯ И СТРУКТУРИТЕ НА ПРЯКО ПОДЧИНЕНИЕ НА МИНИСТЪРА

НА ОТБРАНАТА

 

 

 

 

 

1. Обект, цел и област на приложение

1.1. Обект

Процедурата определя реда за предоставяне на услуги от Института по отбрана, като орган, компетентен за сертифициране на системи за физическа сигурност на класифицираната информация, при създаване (проектиране и изграждане) на системи за физическа сигурност на класифицираната информация от организационни единици в Министерството на отбраната, Българската армия и структурите на пряко подчинение на министъра на отбраната, с цел постигане на съответствие с изискванията на „Методика за изграждане и оценка на средствата и системите за физическа сигурност на класифицираната информация” (приета от ДКСИ (тук и навсякъде в текста се разбира актуалната версия в момента на извършване на услугата)).

1.2. Цел на процедурата

Целта на процедурата е да осигури описание на дейностите по планиране, организиране и изпълнение на услуги при създаване (проектиране и изграждане) на системи за физическа сигурност на класифицираната информация по начин, който посочва с необходимата детайлност правата, отговорностите и връзките между персонала, който ги осъществява.

1.3. Област на приложение

1.3.1. Тази процедура се изпълнява от персонал на отдел „Комуникационни и информационни системи и защита на информацията” („КИСЗИ”) от дирекция „Развитие на системите C4I” („РС C4I”), изпълняващ дейности по предоставяне на услуги при създаване (проектиране и изграждане) на системи за физическа сигурност на класифицираната информация.

2.Права и отговорности

Директорът на Института по отбрана има правото да съгласува възлагателни документи (изходни задания, задания за проектиране, тактико-технически задания и др.), проекти (идейни, системни, технически, работни и др.), програми и методики за изпитване, както и други документи, използвани в процеса на създаване (проектиране и изграждане) на системи за физическа сигурност на класифицираната информация.

Директорът на дирекция „Развитие на системите C4I” координира изпълнението на дейностите по предоставяне на услуги при създаване (проектиране и изграждане) на системи за физическа сигурност на класифицираната информация.

Директорът на дирекция „Развитие на системите C4I” има право да възлага изпълнение на дейности по предоставяне на услуги при създаване (проектиране и изграждане) на системи за физическа сигурност на класифицираната информация и на персонал от други отдели на дирекцията.

Началникът на отдел „Комуникационни и информационни системи и защита на информацията” отговаря за планиране и изпълнение на дейностите по предоставяне на услуги при създаване (проектиране и изграждане) на системи за физическа сигурност на класифицираната информация в съответствие с документираната система за управление.

Личният състав на отдел „Комуникационни и информационни системи и защита на информацията” участва в планирането и изпълнението на дейностите по предоставяне на услуги при създаване (проектиране и изграждане) на системи за физическа сигурност на класифицираната информация.

3. Връзка с други документи

3.1 Позоваване

3.1.1.  Постановление № 54 на Министерския съвет от 2010 г. за приемане на Устройствен правилник на Министерството на отбраната и за определяне на структури на пряко подчинение на министъра на отбраната (обн. ДВ, бр. 27 от 2010 г.).

3.1.2. Правилник за устройството и дейността на Института по отбрана (обн. ДВ бр. 44/2011г.).

3.1.3. Заповед на министъра на отбраната на Република България № ОХ-230/27.03.2012 г.

3.1.4. Методика за изграждане и оценка на средствата и системите за физическа сигурност на класифицираната информация (приета от ДКСИ).

3.1.5. БДС EN ISO 9000 Системи за управление на качеството. Основни принципи и речник.

3.1.6. БДС EN ISO/IEC 17000 Оценяване на съответствието. Речник и общи принципи.

3.1.7. БДС EN ISO/IEC 17020 Оценяване на съответствието. Изисквания за дейността на различни видове органи, извършващи контрол (ISO/IEC 17020).

3.1.8. Заповед № 159/24.06.2013 г. на директора на Института по отбрана.

3.2. Препратки

Няма.

4. Термини и определения

Използваните в текста термини са в съответствие с посочените в стандарт БДС EN ISO/IEC 17000 „Оценяване на съответствието. Речник и общи принципи” и БДС EN ISO 9000

„Системи за управление на качеството. Основни принципи и речник” и Методика за изграждане и оценка на средствата и системите за физическа сигурност на класифицираната информация, (по-нататък в текста и Методика на ДКСИ).

4.1. Системи за физическа сигурност на класифицираната информация

Терминът „Системи за физическа сигурност на класифицираната информация” включва системи за контрол на физическия достъп, както следва:

  • Алармени системи против проникване;
  • Системи за видеонаблюдение;
  • Системи за контрол на достъп;.
  • Защита на периметъра. (Методика на ДКСИ, т. 11.1.5.)

4.2. Оценяване на съответствие

Доказване, че определени изисквания, отнасящи се до продукт, процес, система, лице или орган, са изпълнени (БДС EN ISO/IEC 17000, точка 2.1.).

4.3. Принципи на оценяване на съответствието

Функционален подход

Оценяването на съответствие е последователност от три функции, които удовлетворяват необходимост или искане да се докаже, че определени изисквания са изпълнени:

  • Избор;
  • Определяне;
  • Преглед и атестация (БДС EN ISO/IEC 17000, Приложение А).

4.4. Атестация

Даване на потвърждение, основано на решение, взето след преглед, доказващо, че са изпълнени определени изисквания (БДС EN ISO/IEC 17000, точка 5.2.).

4.5. Сертификация

Атестация, извършена от трета страна, отнасяща се за продукти, процеси, системи или лица

(БДС EN ISO/IEC 17000, точка 5.5.).

4.6. Контрол

Изследване на проекта на продукт, на продукта, процеса или монтажа и определяне на тяхното съответствие със специфични изисквания или на основата на професионална преценка спрямо общи изисквания (БДС EN ISO/IEC 17000, точка 4.3.).

4.7. Оценяване

Процес на изследване на документ, използван при създаване (проектиране и изграждане) на система за физическа сигурност на класифицираната информация, за доказване, че определени изисквания са изпълнени.

4.8. Оценител

Лице, на което е възложено самостоятелно или като част от екип по оценяване да извърши оценяване.

4.9. Водещ оценител

Оценител, който носи цялата отговорност за оценяването.

5. Разпространение на процедурата

Настоящата процедура се разпространява до персонала на дирекция „Развитие на системите C4I”, изпълняващ дейности по предоставяне на услуги при създаване (проектиране и изграждане) на системи за физическа сигурност на класифицираната информация.

6. Описание на дейностите

Услугите при създаване (проектиране и изграждане) на системи за физическа сигурност на класифицираната информация се предоставят от Института по отбрана, като орган, компетентен за сертифициране на системи за физическа сигурност на класифицираната информация, за съдействие на организационни единици – възложители при създаване на системи за физическа сигурност на класифицираната информация на всички етапи от създаването им и с оглед на последваща сертификация на системите за съответствие с изискванията на Методиката на ДКСИ.

Услугите при създаване (проектиране и изграждане) на системи за физическа сигурност на класифицираната информация, предоставяни от Института по отбрана са:

  • Оценяване на възлагателни документи (изходни задания, задания за проектиране, тактико-технически задания и др.);
  • Оценяване на проекти (идейни, системни, технически, работни и др.);
  • Оценяване на програми и методики за изпитване;
  • Оценяване на други документи, използвани в процеса на създаване (проектиране и изграждане) на системи за физическа сигурност на класифицираната информация (по допълнително договаряне).

Оценяването се извършва за проверка на съответствието на представените документи с изискванията на Методиката на ДКСИ.

При положително становище от оценяването директорът на Института по отбрана съгласува представените документи.

Процесът по предоставяне на услуги при създаване (проектиране и изграждане) на системи  за физическа сигурност на класифицираната информация започва да тече от момента на получаване в Института по отбрана на заявка от организационните единици в Министерството на отбраната, Българската армия и структурите на пряко подчинение на министъра на отбраната.

Процесът на предоставяне на услуги при създаване (проектиране и изграждане) на система за физическа сигурност на класифицираната информация включва следните етапи, описани подробно по-нататък в процедурата:

  • Заявяване за предоставяне на услуги;
  • Подготовка за оценяване;
  • Оценяване;
  • Доклад от оценяването и вземане на решение за съгласуване.

6.1. Заявяване за предоставяне на услуги

От организационните единици в Министерството на отбраната, структурите на пряко подчинение на министъра на отбраната и Българската армия е необходимо да се подаде Заявка (Ф КИСЗИ 07/01/01) за предоставяне на услуги при създаване (проектиране и изграждане) на система за физическа сигурност на класифицираната информация до директора на Института по отбрана.

6.2. Подготовка за оценяване

6.2.1. Регистриране и преглед

След получаване на попълнената заявка, тя се регистрира в „Регистър на заявките” (Ф КИСЗИ 07/01/02), който се поддържа в електронен вид. Директорът на дирекция „Развитие на системите C4I” и началникът на отдел „Комуникационни и информационни системи и защита на информацията” съвместно извършват преглед на информацията в заявката и вземат решение за това дали да се пристъпи към предоставяне на услуги при създаване (проектиране и изграждане) на система за физическа сигурност на класифицираната информация.

В случай на положително решение писмено се уведомява ръководството на съответната организационна единица и се продължава подготовката за оценяване.

В случай на отрицателно решение писмено се уведомява ръководството на съответната организационна единица, като се посочват мотивите за отказа.

6.2.2. Анализ на заявката за предоставяне на услуги

В съответствие с информацията в заявката началникът на отдел „Комуникационни и информационни системи и защита на информацията” организира определянето на основните параметри на подлежащите за изпълнение дейности, като има предвид таблицата по-долу, без да се ограничава от нея.

 

Информация от заявката

Използва се за:

Вид на документа за системата за физическа сигурност на класифицираната информация, който е представен за оценяване

Определяне на състава и квалификацията на екипа за оценяване и водещия оценител

Основни характеристики на системата за физическа сигурност на класифицираната информация, документ за която е представен за оценяване

Определяне на състава и квалификацията на екипа за оценяване и водещия оценител

6.2.3. Определяне на екипа за оценяване и водещ оценител

Началникът на отдел „Комуникационни и информационни системи и защита на информацията” определя екип за оценяване и водещ оценител.

След определянето му водещият оценител е длъжен да се запознае със заявката.

Всички следващи дейности, свързани с конкретното оценяване се организират и изпълняват от и под ръководството на водещия оценител, който носи цялата отговорност за изпълнението на оценяването в пълен обем и съгласно установените правила.

6.3. Оценяване

6.3.1. Подготовка и административна организация

Водещият оценител трябва да изпълни следното, без да се ограничава от него:

  • да осъществи контакт със съответно определено лице от организационната единица и да уточни всички подробности по извършване на оценяването;
  • да организира изготвянето на Програма за предоставяне на услуги при създаване (проектиране и изграждане) на системата за физическа сигурност на класифицираната информация (Ф КИСЗИ 07/01/03);
  • да инструктира екипа за оценяване;
  • да организира издаването на заповеди за командировка за членовете на екипа (при необходимост).

6.3.2. Оценяване на представените документи

При оценяването на представените документи се проверява:

  • съдържанието на документите за системата за физическа сигурност на класифицираната информация;
  • съответствието на изискванията на възложителя или на решенията и предложенията на изпълнителя (проектант или друг) с изискванията на Методиката на ДКСИ;
  • позоваването и/или наличието на документи, доказващи съответствие на възложените/проектираните/предложените системи и/или на техните съставни части с изискванията на Методиката на ДКСИ, с изискванията на стандарти, технически спецификации и др.;
  • съответствието на документите с изискванията на действащите стандарти и изисквания за разработването им.

6.3.3. Действия при установяване на несъответствия

В случай на установяване на несъответствия по време на извършване на дейностите, посочени в точка 6.3.2 на процедурата, се попълва отчет за всяко несъответствие (Ф КИСЗИ 07/01/04). Копия на отчетите за несъответствия се предоставят на организационната единица.

Изпълнението на коригиращите действия по несъответствията може да започне веднага. Когато определено коригиращо действие бъде изпълнено в рамките на оценяването, водещият или съответният оценител, който е документирал несъответствието, прави оценяване на изпълнението и го закрива чрез попълване на съответната част от формата.

При документиране на несъответствия, според които представените за оценяване документи за система за физическа сигурност на класифицираната информация не отговарят на изискванията на Методиката на ДКСИ, се назначава допълнително оценяване. Решението и срокът за провеждане на допълнително оценяване се отразяват в протокол, подписан от водещия оценител и ръководителя на организационната единица или негов упълномощен представител.

6.4. Изготвяне на доклад от оценяването и вземане на решение за съгласуване

Докладът от оценяването се изготвя във форма, Приложение 5 (Ф КИСЗИ 07/01/05). Неразделна част от доклада са отчетите за несъответствия, ако има такива (включително и закритите) и протоколът за провеждане на допълнително оценяване (в случай, че е изготвен такъв).

Докладът се предоставя на началника на отдел „Комуникационни и информационни системи и защита на информацията” за преглед и предложение за съгласуване на представения документ или за провеждане на допълнително оценяване, или предложение представеният документ да не се съгласува.

Директорът на дирекция „Развитие на системите C4I” утвърждава предложението за провеждане на допълнително оценяване или за съгласуване на представения документ, или предложението документът да не се съгласува. Копие на доклада се изпраща на организационната единица.

Допълнителното оценяване се провежда, след като ръководителят на организационната единица или негов упълномощен представител писмено декларира, че несъответствията са отстранени, но не по-късно от 2 (два) месеца от датата на утвърждаване на предложението за провеждане на допълнително оценяване.

При невъзможност за отстраняване на несъответствията в срок, не по-голям от 2 (два) месеца от датата на утвърждаване на предложението за провеждане на допълнително оценяване, процедурата по оценяване на документи на система за физическа сигурност на класифицираната информация се прекратява, за което писмено се уведомява ръководството на организационната единица.

6.5. Съгласуване на представените документи

Срокът за съгласуване на представените документи е 15 (петнадесет) календарни дни от утвърждаване на предложението за съгласуване.

На директора на Института по отбрана се предоставя за преглед доклада от оценяването и представения за оценяване документ по създаване на система за физическа сигурност на класифицираната информация. При предложение за съгласуване директорът на Института по отбрана съгласува съответния документ.

Съгласуваният документ се вписва в Регистър на съгласуваните документи (Ф КИСЗИ

07/01/06).

7. Приложения

Приложение 1:    Ф КИСЗИ 07/01/01 Заявка за предоставяне на услуги

Приложение 2:    Ф КИСЗИ 07/01/02 Регистър на заявките

Приложение 3:    Ф КИСЗИ 07/01/03 Програма за оценяване

Приложение 4:    Ф КИСЗИ 07/01/04 Отчет за несъответствие

Приложение 5:    Ф КИСЗИ 07/01/05 Доклад от оценяване

Приложение 6:    Ф КИСЗИ 07/01/06 Регистър на съгласуваните документи