EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32010D0260

2010/260/ЕС: Решение на Комисията от 4 май 2010 година относно плана за сигурност за работата на Визовата информационна система

OJ L 112, 5.5.2010, p. 25–30 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 19 Volume 016 P. 224 - 229

Date of entry into force unknown (pending notification) or not yet in force., Date of effect: 01/01/1001

ELI: http://data.europa.eu/eli/dec/2010/260/oj

5.5.2010   

BG

Официален вестник на Европейския съюз

L 112/25


РЕШЕНИЕ НА КОМИСИЯТА

от 4 май 2010 година

относно плана за сигурност за работата на Визовата информационна система

(2010/260/ЕС)

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз,

като взе предвид Регламент (ЕО) № 767/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. относно Визовата информационна система (ВИС) и обмена на данни между държави-членки относно визите за краткосрочно пребиваване (Регламент за ВИС) (1), и по-специално член 32 от него,

като има предвид, че:

(1)

Член 32, параграф 3 от Регламент (ЕО) № 767/2008 предвижда, че управителният орган взема необходимите мерки с цел да постигне целите в сферата на сигурността, предписани в член 32, параграф 2 по отношение на работата на ВИС, включително приемането на плана за сигурност.

(2)

Член 26, параграф 4 от Регламент (ЕО) № 767/2008 предвижда, че по време на преходния период, преди управителният орган да поеме своите задължения, за оперативното управление на ВИС отговаря Комисията.

(3)

Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета (2) се прилага към обработването на лични данни от Комисията, когато тя изпълнява задълженията си по оперативното управление на ВИС.

(4)

Член 26, параграф 7 от Регламент (ЕО) № 767/2008 предвижда, че когато Комисията делегира своите задължения по време на преходния период преди управителният орган да поеме своите задължения, тя гарантира, че това делегиране не влияе неблагоприятно върху ефективните контролни механизми съгласно правото на Съюза, независимо дали са на Съда, на Сметната палата или на Европейския надзорен орган по защита на данните.

(5)

Управителният орган следва да създаде свой собствен план за сигурност по отношение на ВИС, веднъж щом поеме своите задължения.

(6)

Решение 2008/602/ЕО на Комисията от 17 юни 2008 г. относно определяне на физическата архитектура и изискванията на националните интерфейси и на съобщителната инфраструктура между Централната ВИС и националните интерфейси за етапа на разработване (3) описва необходимите услуги за сигурност, приложими за мрежата за ВИС.

(7)

Член 27 от Регламент (ЕО) № 767/2008 предвижда, че основната централна ВИС, която изпълнява технически надзор и административни функции, е разположена в Страсбург (Франция), а резервната централна ВИС, която в случай на повреда на основната ВИС е способна да осигури всички нейни функционалности, е разположена в Санкт Йохан им Понгау (Австрия).

(8)

Ролите на служителите по сигурността следва така да са определени, че да осигуряват ефективна и навременна реакция на инциденти по сигурността, както и тяхното докладване.

(9)

Следва да бъде определена политика за сигурност, която да описва всички технически и организационни детайли в съответствие с разпоредбите на настоящото решение.

(10)

Следва да се дефинират мерки за осигуряване на подходящото ниво на сигурност на работата на ВИС,

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

ГЛАВА I

ОБЩИ РАЗПОРЕДБИ

Член 1

Предмет

Решението определя организацията и мерките за сигурност (план за сигурност) по смисъла на член 32, параграф 3 от Регламент (ЕО) № 767/2008.

ГЛАВА II

ОРГАНИЗАЦИЯ, ЗАДЪЛЖЕНИЯ И УПРАВЛЕНИЕ НА ИНЦИДЕНТИ

Член 2

Задачи на Комисията

1.   Комисията прилага и наблюдава ефективността на мерките за сигурност за централната ВИС и комуникационната инфраструктура, посочени в настоящото решение.

2.   Комисията определя служител по сигурност на системата от длъжностните си лица. Служителят по сигурността на системата се назначава от генералния директор на Генерална дирекция „Правосъдие, свобода и сигурност“ на Комисията. Задачите на служителя по сигурността на системата по-специално включват:

а)

изготвянето, актуализирането и прегледа на политиката за сигурност, както е описано в член 7 от настоящото решение;

б)

наблюдаване на ефективността при изпълнението на процедурите за сигурност на централната ВИС и комуникационната инфраструктура;

в)

принос към подготовката за докладване във връзка със сигурността, както е посочено в член 50, параграфи 3 и 4 от Регламент (ЕО) № 767/2008;

г)

изпълнение на задачи по координиране и подпомагане при проверките и одитите, извършвани от Европейския надзорен орган по защита на данните, посочени в член 42 от Регламент (ЕО) № 767/2008;

д)

наблюдение дали настоящото решение и политиката за сигурност се прилагат правилно и изцяло от всички изпълнители или подизпълнители на договори, които участват по някакъв начин в управлението и експлоатацията на ВИС;

е)

поддържане на списък от единични национални контактни точки за сигурността на ВИС и предоставянето му на местния служител по сигурността за централната ВИС и комуникационната инфраструктура.

Член 3

Местен служител по сигурността за централната ВИС

1.   Без да се засяга член 8, Комисията определя местен служител по сигурността за централната ВИС от длъжностните си лица. Конфликтите на интереси между задълженията на местния служител по сигурността и всяко друго официално задължение се предотвратяват. Местният служител по сигурността за централната ВИС се назначава от генералния директор на Генерална дирекция „Правосъдие, свобода и сигурност“ на Комисията.

2.   Местният служител по сигурността за централната ВИС осигурява мерките по сигурността, посочени в настоящото решение, да бъдат изпълнявани и процедурите по сигурността да бъдат следвани в основната централна ВИС. По отношение на резервната централна ВИС местният служител по сигурността за централната ВИС осигурява мерките по сигурността, посочени в настоящото решение, с изключение на тези, посочени в член 10, да бъдат изпълнявани и процедурите по сигурността, свързани с нея, да бъдат следвани.

3.   Местният служител по сигурността за централната ВИС може да прехвърли всяка от своите задачи на подчинени служители. Конфликтите на интереси между задължението за изпълнение на тези задачи и всяко друго официално задължение се предотвратяват. Единичен телефонен номер и адрес за връзка позволяват свързването с местния служител по сигурността или неговия или нейния подчинен на служба по всяко време.

4.   Местният служител по сигурността за централната ВИС изпълнява задачите, произтичащи от мерките за сигурност, които трябва да бъдат взети на площадките на основната и резервната ВИС в рамките на параграф 1, като по-специално включват:

а)

задачи по местната оперативна сигурност, включващи одит на „защитната стена“, редовни изпитвания на сигурността, одитиране и докладване;

б)

наблюдение на ефективността на плана за непрекъснатост на работата и осигуряване на редовното провеждане на учения;

в)

събиране на доказателства и докладване на служителя по сигурността на системата за всеки инцидент, който може да повлияе на сигурността на централната ВИС или на комуникационната инфраструктура;

г)

информиране на служителя по сигурността на системата, ако политиката за сигурност се нуждае от изменение;

д)

наблюдение дали настоящото решение и политиката за сигурност се прилагат от всички изпълнители или подизпълнители на договори, които участват по някакъв начин в управлението и експлоатацията на централната ВИС;

е)

осигуряване на това, че персоналът осъзнава своите задължения както и наблюдаване на прилагането на политиката за сигурност;

ж)

наблюдаване на развитието в сферата на сигурността на ИТ и осигуряване на това, че персоналът е съответно обучен;

з)

подготвяне на необходимата информация и варианти за създаването, актуализирането и прегледа на политиката за сигурност в съответствие с член 7.

Член 4

Местен служител по сигурността за комуникационната инфраструктура

1.   Без да се засяга член 8, Комисията определя местен служител по сигурността за комуникационната инфраструктура от своите длъжностни лица. Конфликтите на интереси между задълженията на местния служител по сигурността и всяко друго официално задължение се предотвратяват. Местният служител по сигурността за комуникационната инфраструктура се назначава от генералния директор на Генерална дирекция „Правосъдие, свобода и сигурност“ на Комисията.

2.   Местният служител по сигурността за комуникационната инфраструктура наблюдава функционирането на комуникационната инфраструктура и осигурява това, че мерките по сигурността се прилагат, както и това, че процедурите по сигурността се изпълняват.

3.   Местният служител по сигурността за комуникационната инфраструктура може да прехвърли всяка от своите задачи на подчинени служители. Конфликтите на интереси между задължението за изпълнение на тези задачи и всяко друго официално задължение се предотвратяват. Единичен телефонен номер и адрес за връзка, позволяват свързването с местния служител по сигурността или неговия или нейния подчинен на служба по всяко време.

4.   Местният служител по сигурността за комуникационната инфраструктура изпълнява задачите, произтичащи от мерките за сигурност, свързани с комуникационната инфраструктура и които по-специално включват:

а)

всички задачи по оперативната сигурност, свързани с комуникационната инфраструктура такива като одит на „защитната стена“, редовни изпитвания на сигурността, одитиране, докладване;

б)

наблюдение на ефективността на плана за непрекъснатост на работата и осигуряване на редовното провеждане на учения;

в)

събиране на доказателства и докладване на служителя по сигурността на системата за всеки инцидент, който може да повлияе на сигурността на комуникационната инфраструктура или централната ВИС или на националните системи;

г)

информиране на служителя по сигурността на системата, ако политиката за сигурност се нуждае от изменение;

д)

наблюдение дали настоящото решение и политиката за сигурност се прилагат от всички изпълнители или подизпълнители на договори, които участват по някакъв начин в управлението на комуникационната инфраструктура;

е)

осигуряване на това, че персоналът осъзнава своите задължения и наблюдаване на прилагането на политиката за сигурност;

ж)

наблюдаване на развитието в сферата на сигурността на ИТ и осигуряване на това, че персоналът е съответно обучен;

з)

подготвяне на необходимата информация и варианти за създаването, актуализирането и прегледа на политиката за сигурност в съответствие с член 7.

Член 5

Инциденти по сигурността

1.   Всяко събитие, което е имало или може да има въздействие върху сигурността на работата на ВИС и може да предизвика щети или загуба на ВИС, се разглежда като инцидент по сигурността, особено когато може да е бил осъществен достъп до данни или когато наличността, целостта и поверителността на данните са били или е могло да бъдат компрометирани.

2.   Политиката за сигурност установява процедури за възстановяване след инцидент. Инциденти по сигурността се управляват така, че да се осигури бърза, ефективна и правилна реакция в съответствие с политиката за сигурност.

3.   На засегнатата държава-членка се предоставя информация по отношение на инцидент по сигурността, който може да има въздействие върху работата на ВИС в държавата-членка или върху наличността, целостта и поверителността на данните за ВИС, въведени от държавата-членка. Служителят по защита на данните на Комисията се уведомява за инцидентите по сигурността.

Член 6

Управление на инциденти

1.   От всички служители и изпълнители на договори в разработването, управлението или експлоатацията на ВИС се изисква да отбелязват и докладват всички наблюдавани или подозирани слабости в сигурността в работата на ВИС съответно на служителя по сигурността на системата или на местния служител по сигурността за централната ВИС или на местния служител по сигурността на комуникационната инфраструктура.

2.   В случай на установяване на инцидент, който има или може да има въздействие върху сигурността на работата на ВИС, местният служител по сигурността за централната ВИС или местният служител по сигурността за комуникационната инфраструктура информира възможно най-бързо служителя по сигурността на системата и когато е необходимо единичната национална контактна точка за сигурността на ВИС, ако във въпросната държава-членка съществува такава контактна точка, писмено, или в случай на изключителна спешност, посредством други комуникационни канали. Докладът съдържа описанието на инцидента по сигурността, степента на риск, възможните последици и мерките, които са били, или следва да бъдат предприети, за да се смекчи рискът.

3.   Всички доказателства във връзка с инцидент по сигурността се запазват незабавно съответно от местния служител по сигурността за централната ВИС или местния служител по сигурността за комуникационната инфраструктура. В степента, в която позволяват приложимите разпоредби за защита на данните, такива доказателства се предоставят на служителя по сигурността на системата при поискване от негова страна.

4.   Въвеждат се процеси за обратна връзка, за да се осигури, че информацията за резултатите се съобщава, след като инцидентът е отработен и приключен.

ГЛАВА III

МЕРКИ ЗА СИГУРНОСТ

Член 7

Политика за сигурност

1.   Генералният директор на Генерална дирекция „Правосъдие, свобода и сигурност“ установява, актуализира и редовно преглежда обвързваща политика за сигурност в съответствие с настоящото решение. Политиката за сигурност предоставя подробните процедури и мерки за защита срещу заплахи за наличността, целостта и поверителността на ВИС, включително планиране за извънредни ситуации с цел да се осигури необходимото ниво на сигурност, както е предписано от настоящото решение. Политиката за сигурност е в съответствие с настоящото решение.

2.   Политиката за сигурност се базира на оценка на риска. Мерките, описани от политиката за сигурност, са пропорционални на идентифицираните рискове.

3.   Оценката на риска и политиката за сигурност се актуализират, ако технологичните промени, идентифицирането на нови заплахи или някакви други обстоятелства правят това необходимо. Във всички случаи на политиката за сигурност се прави преглед ежегодно, за да се гарантира, че все още осигурява подходящ отговор на последната оценка на риска или на всяка друга новоидентифицирана технологична промяна, заплаха или друго подобно обстоятелство.

4.   Политиката за сигурност се изготвя от служителя по сигурността на системата при координиране с местния служител по сигурността за ВИС и местния служител по сигурността за комуникационната инфраструктура.

Член 8

Изпълнение на мерките за сигурност

1.   Изпълнението на задачи и изисквания, установени в настоящото решение и в политиката за сигурност, включително задачата за определяне на местен служител по сигурността, могат да бъдат възложени или поверени на частни или публични образувания.

2.   В този случай Комисията осигурява посредством правнообвързващо споразумение, че изискванията, установени в настоящото решение и в политиката за сигурност, са спазени напълно. В случай на делегиране или възлагане с договор на задачата за определяне на местен служител по сигурността Комисията осигурява посредством правнообвързващо споразумение, че ще бъде потърсено становището ѝ относно лицето, което ще бъде определено за местен служител по сигурността.

Член 9

Контрол на достъпа до съоръженията

1.   За защита на районите, на които са разположени съоръжения за обработка на данни, се използват периметри за сигурност с подходящите бариери и контрол на входовете.

2.   В периметрите за сигурност се дефинират обезопасени зони за защита на физически компоненти (активи), включващи хардуер, носители и конзоли за данни, планове и други документи за ВИС, както и офиси и други работни места за персонала, участващ в експлоатацията на ВИС. Тези обезопасени зони се защитават с подходящ контрол на входовете, за да се гарантира, че достъп се позволява само на персонал, който е упълномощен. Работата в обезопасените зони е предмет на подробни правила за сигурност, определени в политиката за сигурност.

3.   Предвижда се и се монтира физическата сигурност за офиси, стаи и съоръжения. Точките за достъп като зоните за доставка и товаро-разтоварни дейности и други точки, през които неупълномощени лица могат да влязат в помещенията, се контролират и, ако е възможно, се изолират от съоръженията за обработка на данни, за да се избегне достъпът без разрешение.

4.   Проектира се и се прилага пропорционално на риска физическа защита на периметрите за сигурност срещу повреда от природни или предизвикани от човека бедствия.

5.   Оборудването се защитава от физически и екологични заплахи и от възможности за неразрешен достъп.

6.   Ако Комисията притежава такава информация, тя добавя към списъка, посочен в член 2, параграф 2, буква e), единична контактна точка за наблюдението и изпълнението на разпоредбите на настоящия член в помещенията, в които е разположена резервната централна ВИС.

Член 10

Контрол на носителите на данни и на активите

1.   Сменяем носител, който съдържа данни, се защитава срещу неразрешен достъп, неправилна употреба или повреда, а разчитането му се осигурява за целия живот на данните.

2.   Освобождаването от носителите, когато повече не са необходими, се извършва по сигурен и безопасен начин в съответствие с подробните процедури, които ще бъдат определени в политиката за сигурност.

3.   Инвентарни списъци осигуряват наличието на информация за мястото на съхранение, приложимия срок на запазване и разрешенията за достъп.

4.   Определят се всички важни активи на централната ВИС и на комуникационната инфраструктура, така че да могат да бъдат защитени в съответствие с важността им. Води се актуален регистър на съответното ИТ оборудване.

5.   Осигурява се актуална документация на централната ВИС и на комуникационната инфраструктура. Такава документация трябва да е защитена срещу неразрешен достъп.

Член 11

Контрол на съхранението

1.   Вземат се подходящи мерки за осигуряване на правилно съхранение на информацията и предотвратяване на неразрешения достъп до нея.

2.   Всички елементи на оборудването, съдържащи носители за съхранение на данни се проверяват, за да се гарантира, че чувствителните данни са били премахнати или напълно заличени преди освобождаването от тях, или се унищожават по сигурен начин.

Член 12

Контрол на пароли

1.   Всички пароли се съхраняват безопасно и се третират с поверителност. В случай на подозрение, че дадена парола е била разкрита, паролата се сменя незабавно или съответният потребителски достъп се прекратява. Използват се уникални и индивидуални идентификации за потребителите.

2.   В политиката за сигурност се дефинират процедури за вход и изход, за да се предотврати неразрешен достъп.

Член 13

Контрол на достъпа

1.   За целите на оперативното управление политиката за сигурност установява официална процедура за регистриране и прекратяване на регистрацията на персонала за даване и отнемане на достъп до хардуера и софтуера на ВИС в централната ВИС. Определянето и използването на подходящи атрибути за достъп (пароли или други подходящи средства) се контролира посредством официален управленски процес, както е определен в политиката за сигурност.

2.   Достъпът до хардуера и софтуера на ВИС в централната ВИС:

i)

ограничава се до упълномощените лица;

ii)

ограничава се до случаите, за които има легитимна цел в съответствие с член 42 и член 50, параграф 2 от Регламент (ЕО) № 767/2008;

iii)

ограничава се до продължителността и обхвата, необходими за целта на достъпа; и

iv)

осъществява се само в съответствие с политика за контрол на достъпа, която се определя в политиката за сигурност.

3.   В централната ВИС се използват само конзолите и софтуера, разрешени от местния служител по сигурността за централната ВИС. Използването на системни възможности, които може да са способни да заобиколят контролите на системата и на приложенията, се ограничава и контролира. Въвеждат се процедури за контрол на инсталирането на софтуер.

Член 14

Контрол на комуникациите

Комуникационната инфраструктура се наблюдава с цел осигуряване на наличност, цялост и поверителност на обмена на информация. Използват се средства за криптиране, за да се защитят данните, предавани по комуникационната инфраструктура.

Член 15

Контрол на записа на данни

Правата на достъп на лица, упълномощени за достъп до софтуера на ВИС от централната ВИС, се наблюдават от местния служител по сигурността за централната ВИС. Регистрира се използването на тези права на достъп, което включва времето и самоличността на потребителя.

Член 16

Контрол на транспорта

1.   В политиката за сигурност се определят подходящи мерки за предотвратяване на неразрешено четене, копиране, промяна или заличаване на лични данни по време на предаване към или от ВИС или по време на транспортирането на носители на данни. В политиката за сигурност се установяват разпоредби по отношение на допустимите типове изпращане или транспорт, както и по отношение на процедурите за отчетност за транспортирането на предмети и пристигането им в тяхното местоназначение. Носителят на данни не съдържа никакви други данни, освен данните, които трябва да бъдат изпратени.

2.   Услугите, предоставени от трети страни, които включват оценка, обработване, комуникации или управление на съоръжения за обработка на данни или добавянето на продукти или услуги към съоръженията за обработка на данни, имат подходящи интегрирани контроли за сигурност.

Член 17

Сигурност на комуникационната инфраструктура

1.   Комуникационната инфраструктура се управлява и контролира по подходящ начин с цел да бъде защитена от заплахи и да се осигури сигурността както на самата комуникационна инфраструктура, така и на централната ВИС, включително на данните, обменяни през нея.

2.   Характеристиките на сигурността, нивата на обслужване и управленските изисквания на всички мрежови услуги се идентифицират в мрежово споразумение за обслужване с доставчика на услуги.

3.   Освен защитата на точките на достъп на ВИС се защитават и всички допълнителни услуги, използвани от комуникационната инфраструктура. В политиката за сигурност се дефинират подходящите мерки.

Член 18

Наблюдение

1.   Регистри, записващи информацията, посочена в член 34, параграф 1 от Регламент (ЕО) № 767/2008, свързана с всеки достъп до и всички операции по обработка на данни в рамките на централната ВИС, се съхраняват по сигурен начин във, и достъпни от помещенията, в които са разположени площадките на основната и резервната централна ВИС, за срока, посочен в член 34, параграф 2 от Регламент (ЕО) № 767/2008.

2.   В политиката за сигурност се създават процедури за наблюдение на използването или на грешки в съоръженията за обработка на информация, и резултатите от дейностите по наблюдение се преглеждат редовно. Ако е необходимо, се предприемат подходящи действия.

3.   Устройствата за водене на регистри и регистрите се защитават срещу злонамерена намеса и неразрешен достъп с цел да се изпълнят изискванията за събиране и запазване за срока на запазване на доказателства.

Член 19

Мерки за криптиране

За защитата на информацията, когато е необходимо, се прилагат мерки за криптиране. Тяхното използване, заедно с целите и условията, трябва да бъдат одобрени предварително от служителя по сигурността на системата.

ГЛАВА IV

СИГУРНОСТ НА ЧОВЕШКИТЕ РЕСУРСИ

Член 20

Профили на персонала

1.   Политиката за сигурност дефинира функциите и отговорностите на лицата, които имат разрешен достъп до ВИС, включително комуникационната инфраструктура.

2.   Свързаните със сигурността роли и отговорности на персонала на Комисията, изпълнителите по договори и персонала, участващ в оперативното управление, се дефинират, документират и съобщават на засегнатите лица. В описанието на длъжността и в целите се посочват ролите и отговорностите на персонала на Комисията; в договорите или в споразуменията за нивото на обслужване се посочват тези за изпълнителните на договори.

3.   Споразуменията за поверителност и служебна тайна се сключват с всички лица, към които не се прилага служебен правилник на Европейския съюз или на публична служба на държава-членка. Персоналът, който трябва да работи с ВИС, преминава през необходимата проверка за сигурност или процедура на сертифициране в съответствие с подробните процедури, определени в политиката за сигурност.

Член 21

Информиране на персонала

1.   Целият персонал и когато е необходимо, всички изпълнители на договори получават подходящо обучение за рисковете за сигурността, правните изисквания, политиките и процедурите, в степента, изисквана от техните задължения.

2.   При приключване на трудовите взаимоотношения или договора, отговорностите за персонала и изпълнителите на договори, свързани с промяна на работата или приключване на трудовите взаимоотношения, се определят в политиката за сигурност, както и се създават процедури в политиката за сигурност за връщане на активите и за прекратяване на правата за достъп.

ГЛАВА V

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 22

Приложимост

1.   Настоящото решение се прилага от датата, определена от Комисията в съответствие с член 48, параграф 1 от Регламент (ЕО) № 767/2008.

2.   Срокът на действие на настоящото решение изтича, когато управителният орган поеме своите задължения.

Съставено в Брюксел на 4 май 2010 година.

За Комисията

Председател

José Manuel BARROSO


(1)  ОВ L 218, 13.8.2008 г., стр. 60.

(2)  ОВ L 8, 12.1.2001 г., стр. 1.

(3)  ОВ L 194, 23.7.2008 г., стр. 3.


Top