02015R1502 — BG — 11.07.2022 — 001.001
Този текст служи само за информационни цели и няма правно действие. Институциите на Съюза не носят отговорност за неговото съдържание. Автентичните версии на съответните актове, включително техните преамбюли, са версиите, публикувани в Официален вестник на Европейския съюз и налични в EUR-Lex. Тези официални текстове са пряко достъпни чрез връзките, публикувани в настоящия документ
|
РЕГЛАМЕНТ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2015/1502 НА КОМИСИЯТА от 8 септември 2015 година за определяне на минимални технически спецификации и процедури за нивата на осигуреност за средствата за електронна идентификация съгласно член 8, параграф 3 от Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар (ОВ L 235, 9.9.2015 г., стp. 7) |
Изменен с:
|
|
|
Официален вестник |
||
|
№ |
страница |
дата |
||
|
РЕГЛАМЕНТ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2022/960 НА КОМИСИЯТА от 20 юни 2022 година |
L 165 |
40 |
21.6.2022 |
|
РЕГЛАМЕНТ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2015/1502 НА КОМИСИЯТА
от 8 септември 2015 година
за определяне на минимални технически спецификации и процедури за нивата на осигуреност за средствата за електронна идентификация съгласно член 8, параграф 3 от Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар
(текст от значение за ЕИП)
Член 1
Спецификациите и процедурите, посочени в приложението, се използват за установяване на нивото на осигуреност на средствата за електронна идентификация, издадени по нотифицирана схема за електронна идентификация, като се определят надеждността и качеството на следните елементи:
вписването, както е посочено в раздел 2.1 от приложението към настоящия регламент, в съответствие с член 8, параграф 3, буква а) от Регламент (ЕС) № 910/2014;
управлението на средствата за електронна идентификация, както е посочено в раздел 2.2 от приложението към настоящия регламент, в съответствие с член 8, параграф 3, букви б) и е) от Регламент (ЕС) № 910/2014;
удостоверяването на автентичността, както е посочено в раздел 2.3 от приложението към настоящия регламент, в съответствие с член 8, параграф 3, буква в) от Регламент (ЕС) № 910/2014;
управлението и организацията, както е посочено в раздел 2.4 от приложението към настоящия регламент, в съответствие с член 8, параграф 3, букви г) и д) от Регламент (ЕС) № 910/2014.
Член 2
Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.
Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.
ПРИЛОЖЕНИЕ
Технически спецификации и процедури за нивата на осигуреност „ниско“, „значително“ и „високо“ за средства за електронна идентификация, издадени по нотифицирана схема за електронна идентификация
1. Приложими определения
За целите на наiстоящото приложение се прилагат следните определения:
„достоверен източник“ означава който и да е източник, независимо от неговата форма, на който може да се разчита за получаването на точни данни, информация и/или факти, които могат да бъдат използвани, за да се докаже самоличността;
„фактор за удостоверяване на автентичността“ означава фактор, потвърден като свързан с дадено лице, който попада в една от следните категории:
„фактор въз основа на притежание“ означава фактор за удостоверяване на автентичността, когато от субекта се изисква да докаже притежанието си върху него;
„фактор въз основа на познаване“ означава фактор за удостоверяване на автентичността, когато от субекта се изисква да докаже познаването му;
„присъщ фактор за удостоверяване на автентичността“ означава фактор, който се основава на физически атрибут на физическо лице и от субекта се изисква да докаже, че притежава този физически атрибут;
„динамично удостоверяване на автентичността“ означава електронен процес, при който се използва криптография или друга техника, която осигурява начин за създаване по заявка на електронно потвърждение, че субектът контролира или притежава данните за идентификация, и който се променя с всяко удостоверяване на автентичността между субекта и системата, проверяваща самоличността на субекта;
„система за управление на информационната сигурност“ означава набор от процеси и процедури, предназначени за управление до приемливи нива на рисковете, свързани с информационната сигурност.
2. Технически спецификации и процедури
Елементите на техническите спецификации и процедури, описани в настоящото приложение, се използват, за да се определи по какъв начин изискванията и критериите съгласно член 8 от Регламент (ЕС) № 910/2014 да се прилагат за средствата за електронна идентификация, издадени по схема за електронна идентификация.
2.1. Вписване
2.1.1.
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
1. Уверяване, че заявителят е запознат с реда и условията във връзка с използването на средствата за електронна идентификация. 2. Уверяване, че заявителят е запознат с препоръчаните предпазни мерки за сигурност във връзка със средствата за електронна идентификация. 3. Събиране на съответните данни за самоличност, изисквани за доказване и проверка на самоличността. |
|
Значително |
Същите, както за нивото „ниско“. |
|
Високо |
Същите, както за нивото „ниско“. |
2.1.2.
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
1. Може да се приеме, че лицето разполага с доказателство, което е признато от държавата членка, в която се подава заявлението за средство за електронна идентификация, и удостоверява заявената самоличност. 2. Доказателството може да се приеме за неподправено или за съществуващо съгласно достоверен източник и изглежда да е валидно. 3. От достоверен източник е известно, че заявената самоличност съществува, и може да се приеме, че лицето, което претендира за тази самоличност, съвпада с нея. |
|
Значително |
Трябва да бъдат изпълнени изискванията за нивото „ниско“, плюс една от алтернативите, изброени в точки 1—4: 1. Лицето е било проверено, че разполага с доказателство, което е признато от държавата членка, в която се подава заявлението за средство за електронна идентификация, и удостоверява заявената самоличност; както и доказателството се проверява, за да се определи дали е неподправено; или, съгласно достоверен източник, е известно, че съществува и се отнася за действително лице; както и са били предприети стъпки, за да се сведе до минимум рискът самоличността на лицето да не съответства на заявената самоличност, като се отчита например рискът доказателството да е загубено, откраднато, с прекратена валидност, отменено или с изтекъл срок; или 2. По време на процеса на регистрация е представен документ за самоличност, издаден в същата държава членка, и документът изглежда се отнася за представилото го лице; както и са били предприети стъпки, за да се сведе до минимум рискът самоличността на лицето да не съответства на заявената самоличност, като се отчита например рискът документът да е загубен, откраднат, с прекратена валидност, отменен или с изтекъл срок; или 3. Когато процедурите, използвани преди това от публичноправен или частноправен субект в същата държава членка за цел, различна от издаването на средства за електронна идентификация, предоставят осигуреност, която е равностойна на посочената в раздел 2.1.2 за нивото „значително“, тогава не е необходимо субектът, отговорен за регистрацията, да повтаря тези предходни процедури, при условие че такава равностойна осигуреност е потвърдена от орган за оценяване на съответствието, посочен в член 2, точка 13 от Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета (1), или от равностоен орган; или 4. Когато средствата за електронна идентификация се издават на основание валидно нотифицирано средство за електронна идентификация с ниво на осигуреност „значително“ или „високо“, като се вземат под внимание рисковете от промяна в данните за идентификация на лицето, не се изисква да се повтарят процесите на доказване и проверка на самоличността. Когато служещите за основание средства за електронна идентификация не са били нотифицирани, нивото на осигуреност „значително“ или „високо“ трябва да бъде потвърдено от орган за оценяване на съответствието, посочен в член 2, точка 13 от Регламент (ЕО) № 765/2008, или от равностоен орган. |
|
Високо |
Трябва да бъдат изпълнени изискванията или на точка 1, или на точка 2: 1. Трябва да бъдат изпълнени изискванията за нивото „значително“ плюс една от алтернативите, изброени в букви от а) до в): а) Когато лицето е проверено, че притежава снимково или биометрично доказателство за идентификация, признато от държавата членка, в която се подава заявлението за средство за електронна идентификация, и удостоверява заявената самоличност, доказателството се проверява, за да се установи дали то е валидно според достоверен източник; както и заявителят е идентифициран със заявената самоличност чрез сравняване на една или повече физически характеристики на лицето с достоверен източник; или б) Когато процедурите, използвани преди това от публичноправен или частноправен субект в същата държава членка за цел, различна от издаването на средства за електронна идентификация, предоставят осигуреност, която е равностойна на посочената в раздел 2.1.2 за нивото „високо“, тогава не е необходимо субектът, отговорен за регистрацията, да повтаря тези предходни процедури, при условие че такава равностойна осигуреност е потвърдена от орган за оценяване на съответствието, посочен в член 2, точка 13 от Регламент (ЕО) № 765/2008, или от равностоен орган; както и са предприети стъпки, за да се покаже, че резултатите от по-ранните процедури остават валидни; или в) Когато средства за електронна идентификация се издават на основание валидно нотифицирано средство за електронна идентификация с ниво на осигуреност „високо“, като се вземат под внимание рисковете от промяна в данните за идентификация на лицето, не се изисква да се повтарят процесите на доказване и проверка на самоличността. Когато служещите за основание средства за електронна идентификация не са били нотифицирани, нивото на осигуреност „високо“ трябва да бъде потвърдено от орган за оценяване на съответствието, посочен в член 2, точка 13 от Регламент (ЕО) № 765/2008, или от равностоен орган; както и са предприети стъпки, за да се покаже, че резултатите от тази предходна процедура на издаване на нотифицирано средство за електронна идентификация остават валидни. ИЛИ 2. Когато заявителят не представи признато снимково или биометрично доказателство за идентификация, за получаване на такова признато снимково или биометрично доказателство за идентификация се прилагат абсолютно същите процедури, използвани на национално равнище в държавата членка на субекта, отговорен за регистрацията. |
|
(1)
Регламент (ЕО) № 765/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. за определяне на изискванията за акредитация и надзор на пазара във връзка с предлагането на пазара на продукти и за отмяна на Регламент (ЕИО) № 339/93 (ОВ L 218, 13.8.2008 г., стр. 30). |
|
2.1.3.
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
1. За заявената самоличност на юридическото лице се показва доказателство, признато от държавата членка, в която се подава заявлението за средство за електронна идентификация. 2. Доказателството изглежда валидно и може да се приеме, че е неподправено или съществуващо съгласно достоверен източник, когато включването на юридическо лице в достоверния източник е доброволно и се урежда чрез договореност между юридическото лице и достоверния източник. 3. Не е известно от достоверен източник юридическото лице да се намира в състояние, което би го възпрепятствало да действа в това си качество. |
|
Значително |
Трябва да бъдат изпълнени изискванията за нивото „ниско“, плюс една от алтернативите, изброени в точки 1—3: 1. За заявената самоличност на юридическото лице се показва доказателство, признато от държавата членка, в която се подава заявлението за средство за електронна идентификация, включващо наименованието на юридическото лице, правната му форма и (ако е приложимо) неговия регистрационен номер; и доказателството се проверява, за да се определи дали то е неподправено или е известно като съществуващо съгласно достоверен източник, когато за дейността на юридическото лице в съответния сектор се изисква включването му в достоверния източник; както и са били предприети стъпки, за да се сведе до минимум рискът самоличността на юридическото лице да не съответства на заявената самоличност, като се отчита например рискът съответните документи да са загубени, откраднати, с прекратена валидност, отменени или с изтекъл срок; или 2. Когато процедурите, използвани преди това от публичноправен или частноправен субект в същата държава членка за цел, различна от издаването на средства за електронна идентификация, предоставят осигуреност, която е равностойна на посочената в раздел 2.1.3 за нивото „значително“, тогава не е необходимо субектът, отговорен за регистрацията, да повтаря тези предходни процедури, при условие че такава равностойна осигуреност е потвърдена от орган за оценяване на съответствието, посочен в член 2, точка 13 от Регламент (ЕО) № 765/2008, или от равностоен орган; или 3. Когато средства за електронна идентификация се издават на основание валидно нотифицирано средство за електронна идентификация с ниво на осигуреност „значително“ или „високо“, не се изисква да се повтарят процесите на доказване и проверка на самоличността. Когато служещите за основание средства за електронна идентификация не са били нотифицирани, нивото на осигуреност „значително“ или „високо“ трябва да бъде потвърдено от орган за оценяване на съответствието, посочен в член 2, точка 13 от Регламент (ЕО) № 765/2008, или от равностоен орган. |
|
Високо |
Трябва да бъдат изпълнени изискванията за нивото „значително“, плюс една от алтернативите, изброени в точки 1—3: 1. За заявената самоличност на юридическото лице се представя доказателство, признато от държавата членка, в която се подава заявлението за средство за електронна идентификация, включващо наименованието на юридическото лице, правната му форма и най-малко един уникален идентификатор, представляващ юридическото лице и използван в национален контекст; и доказателството се проверява, за да се определи дали то е валидно съгласно достоверен източник; или 2. Когато процедурите, използвани преди това от публичноправен или частноправен субект в същата държава членка за цел, различна от издаването на средства за електронна идентификация, предоставят осигуреност, която е равностойна на посочената в раздел 2.1.3 за нивото „високо“, тогава не е необходимо субектът, отговорен за регистрацията, да повтаря тези предходни процедури, при условие че такава равностойна осигуреност е потвърдена от орган за оценяване на съответствието, посочен в член 2, точка 13 от Регламент (ЕО) № 765/2008, или от равностоен орган; и са предприети стъпки, за да се покаже, че резултатите от тази предходна процедура остават валидни; или 3. Когато средства за електронна идентификация се издават на основание валидно нотифицирано средство за електронна идентификация с ниво на осигуреност „високо“, не се изисква да се повтарят процесите на доказване и проверка на самоличността. Когато служещите за основание средства за електронна идентификация не са били нотифицирани, нивото на осигуреност „високо“ трябва да бъде потвърдено от орган за оценяване на съответствието, посочен в член 2, точка 13 от Регламент (ЕО) № 765/2008, или от равностоен орган; и са предприети стъпки, за да се покаже, че резултатите от тази предходна процедура на издаване на нотифицирано средство за електронна идентификация остават валидни. |
2.1.4.
Когато е приложимо, за свързването между средствата за електронна идентификация на физическо лице и средствата за електронна идентификация на юридическо лице (наричано по-долу „свързването“) са в сила следните условия:
Трябва да е възможно да се прекрати временно и/или отмени свързването. Жизненият цикъл на свързването (например активиране, временно спиране, подновяване, отмяна) се управлява съгласно национално признати процедури.
Физическото лице, чието средство за електронна идентификация е свързано със средство за електронна идентификация на юридическото лице, може да делегира упражняването на свързването с друго физическо лице въз основа на национално признати процедури. Делегиращото физическо лице обаче продължава да носи отговорността.
Свързването се извършва по следния начин:
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
1. Проверява се дали доказването на самоличността на физическото лице, действащо от името на юридическото лице, е било извършено на ниво „ниско“ или по-високо. 2. Свързването е било осъществено въз основа на национално признати процедури. 3. Не е известно от достоверен източник физическото лице да се намира в състояние, което би го възпрепятствало да действа от името на юридическото лице. |
|
Значително |
Като точка 3 за ниво „ниско“, плюс: 1. Проверява се дали доказването на самоличността на физическото лице, действащо от името на юридическото лице, е било извършено на ниво „значително“ или „високо“. 2. Свързването е било осъществено въз основа на национално признати процедури, което е довело до регистриране на свързването в достоверен източник. 3. Свързването е било проверено въз основа на информация от достоверен източник. |
|
Високо |
Като точка 3 за ниво „ниско“ и точка 2 за ниво „значително“, плюс: 1. Проверява се дали доказването на самоличността на физическото лице, действащо от името на юридическото лице, е било извършено на ниво „високо“. 2. Свързването е било проверено въз основа на уникален идентификатор, представляващ юридическото лице и използван в националния контекст; и въз основа на информация от достоверен източник, представляваща по уникален начин физическото лице. |
2.2. Управление на средствата за електронна идентификация
2.2.1.
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
1. При средството за електронна идентификация се използва най-малко един фактор за удостоверяване на автентичността. 2. Средството за електронна идентификация се проектира така, че издателят да предприема подходящи мерки, за да проверява, че то се използва само под контрола или във притежанието на лицето, на което принадлежи. |
|
Значително |
1. При средството за електронна идентификация се използват най-малко два фактора от различни категории за удостоверяване на автентичността. 2. Средството за електронна идентификация се проектира така, че да може да се приеме, че то се използва само под контрола или във притежанието на лицето, на което принадлежи. |
|
Високо |
Както за ниво „значително“, плюс: 1. Средството за електронна идентификация защитава срещу дублиране и подправяне, както и срещу нападатели с голям потенциал за атаки. 2. Средството за електронна идентификация е проектирано така, че лицето, на което принадлежи, да може да го защити надеждно срещу използване от други лица. |
2.2.2.
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
След издаването му средството за електронна идентификация се предоставя по начин, за който може да се приеме, че гарантира получаване единствено от лицето, за което е предназначено. |
|
Значително |
След издаването на средството за електронна идентификация то се предоставя по начин, за който може да се приеме, че гарантира получаване единствено от лицето, на което принадлежи. |
|
Високо |
В процеса на активиране се проверява дали средството за електронна идентификация е било получено единствено от лицето, на което принадлежи. |
2.2.3.
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
1. Възможно е по своевременен и ефективен начин да се прекрати временно действието на дадено средство за електронна идентификация и/или то да се отнеме. 2. Наличието на мерки, предприети за предотвратяване на неразрешено временно спиране на действието, отнемане и/или повторно активиране. 3. Повторно активиране се извършва само ако продължава спазването на същите изисквания за осигуреност, както установените преди временното спиране на действието или отнемането. |
|
Значително |
Същите, както за нивото „ниско“. |
|
Високо |
Същите, както за нивото „ниско“. |
2.2.4.
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
Като се вземат предвид рисковете от промяна в данните за идентификация на лицето, подновяването или замяната трябва да отговарят на същите изисквания за осигуреност, както първоначалното доказване и проверка на самоличността, или да се основава на валидно средство за електронна идентификация със същото или по-високо ниво на осигуреност. |
|
Значително |
Същите, както за нивото „ниско“. |
|
Високо |
Както за ниво „ниско“, плюс: Когато подновяването или замяната се основава на валидно средство за електронна идентификация, данните за самоличността се проверяват чрез достоверен източник. |
2.3. Удостоверяване на автентичността
Настоящият раздел е посветен на заплахите, свързани с използването на механизма за удостоверяване на автентичността, и се изброяват изискванията за всяко ниво на осигуреност. За контролните мерки по настоящия раздел се подразбира, че те трябва да бъдат съизмерими с рисковете за даденото ниво.
2.3.1.
В таблицата по-долу са посочени изискванията за отделните нива на осигуреност по отношение на механизма за удостоверяване на автентичността, чрез който физическото или юридическото лице използва средството за електронна идентификация, за да потвърди своята самоличност пред доверяваща се страна.
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
1. Разкриването на данни за идентификацията на лицето се предхожда от надеждна проверка на средството за електронна идентификация и неговата валидност. 2. Когато данните за идентификация на лица се съхраняват като част от механизма за удостоверяване на автентичността, тази информация се защитава срещу загуба и срещу компрометиране, включително анализ офлайн. 3. Механизмът за удостоверяване на автентичността осъществява контролни мерки за сигурност за проверката на средството за електронна идентификация, така че е много малко вероятно нападател с повишен базов потенциал за атака да може чрез дейности като налучкване, подслушване, възпроизвеждане или манипулиране на комуникацията да злоупотреби с механизма за удостоверяване на автентичността. |
|
Значително |
Както за ниво „ниско“, плюс: 1. Разкриването на данни за идентификацията на лицето се предхожда от надеждна проверка на средството за електронна идентификация и неговата валидност чрез динамично удостоверяване на автентичността. 2. Механизмът за удостоверяване на автентичността осъществява контролни мерки за сигурност за проверката на средството за електронна идентификация, така че е много малко вероятно нападател с умерен потенциал за атака да може чрез дейности като налучкване, подслушване, възпроизвеждане или манипулиране на комуникацията да злоупотреби с механизма за удостоверяване на автентичността. |
|
Високо |
Както за ниво „значително“, плюс: Механизмът за удостоверяване на автентичността осъществява контролни мерки за сигурност за проверката на средството за електронна идентификация, така че е много малко вероятно нападател с голям потенциал за атака да може чрез дейности като налучкване, подслушване, възпроизвеждане или манипулиране на комуникацията да злоупотреби с механизма за удостоверяване на автентичността. |
2.4. Управление и организация
Всички участници, предоставящи услуга, свързани с електронната идентификация в трансграничен контекст (наричани по-долу „доставчици“), трябва да разполагат с документирани практики и политики за управление на информационната сигурност, подходи за управление на риска и други признати контролни мерки, така че да предоставят гаранции пред компетентните органи по управление за схеми за електронна идентификация в съответните държави членки, че са налице ефективни практики. За всички изисквания/елементи в целия раздел 2.4 се подразбира, че те трябва да бъдат съизмерими с рисковете за даденото ниво.
2.4.1.
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
1. Доставчикът, предоставящ оперативна услуга, попадаща в обхвата на настоящия регламент, е държавен орган или правен субект, признат като такъв от националното право на държава членка, с установена организация и дейност във всички области, които имат отношение към предоставянето на услугата. 2. Доставчиците спазват всички правни изисквания, приложими за тях, във връзка с изпълнението и предоставянето на услугата, включително по отношение на видовете информация, в които може да се търси, как се извършва доказването на самоличността, каква информация може да бъде запазена и за какъв период от време. 3. Доставчиците са в състояние да докажат способността си да поемат риска от възникване на отговорност за причинени щети, както и да притежават достатъчно финансови ресурси за непрекъснато изпълнение и предоставяне на услугите. 4. Доставчиците носят отговорност за изпълнението на всички задължения, възложени на друг субект, и за спазването на политиката за схемата, все едно че те самите са изпълнявали задълженията. 5. За схемите за електронна идентификация, които не са учредени съгласно националното право, трябва да е налице ефективен план за прекратяването им. Такъв план трябва да включва надлежно прекратяване на услугата или продължаване от друг доставчик; начина, по който се информират за това съответните органи и крайните потребители, както и подробности относно начина, по който записите следва да бъдат защитени, запазени и унищожени в съответствие с политиката за схемата. |
|
Значително |
Същите, както за нивото „ниско“. |
|
Високо |
Същите, както за нивото „ниско“. |
2.4.2.
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
1. Наличието на публикувано определение за услугата, което включва всички приложими условия, ред и такси, както и всички ограничения за нейното използване. Определението за услугата трябва да включва политика за защита на правото на личен живот. 2. Трябва да бъдат въведени подходяща политика и процедури, за да се гарантира, че ползвателите на услугата са информирани по своевременен и надежден начин за всяка промяна в определението за посочената услуга и във всички приложими условия, ред и политика за защита на личния живот във връзка с тази услуга. 3. Трябва да бъдат въведени подходяща политика и процедури, които да осигуряват пълни и правилни отговори на исканията за информация. |
|
Значително |
Същите, както за нивото „ниско“. |
|
Високо |
Същите, както за нивото „ниско“. |
2.4.3.
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
За управлението и контрола на рисковете, свързани със сигурността на информацията, съществува ефективна система за управление на информационната сигурност. |
|
Значително |
Както за ниво „ниско“, плюс: Системата за управление на информационната сигурност е съобразена с изпитани стандарти или принципи за управление и контрол на рисковете, свързани със сигурността на информацията. |
|
Високо |
Същите, както за нивото „значително“. |
2.4.4.
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
1. Записване и съхраняване на значима информация посредством ефективна система за управление на записите, като се вземат предвид приложимото законодателство и добрите практики по отношение на защитата и запазването на данните. 2. Запазване, доколкото това е разрешено от националното законодателство или други национални административни разпоредби, и защита на записите за срок, съобразен с нуждите на одита, разследването на пробиви в сигурността и съхранението на данни, след което записите се унищожават по сигурен начин. |
|
Значително |
Същите, както за нивото „ниско“. |
|
Високо |
Същите, както за нивото „ниско“. |
2.4.5.
В следващата таблица са посочени изискванията по отношение на съоръженията и персонала и, ако е приложимо, подизпълнителите, които поемат задължения, обхванати от настоящия регламент. Спазването на всяко от изискванията трябва да е пропорционално на степента на рисковете, свързани с предоставяното ниво на осигуреност.
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
1. Наличието на процедури, с които се гарантира, че персоналът и подизпълнителите са достатъчно обучени, квалифицирани и опитни за уменията, необходими за изпълнението на своите роли. 2. Наличието на достатъчен персонал и подизпълнители за адекватно изпълнение и поддържане на услугата съгласно политиките и процедурите за нея. 3. Съоръженията, използвани за предоставянето на услугата, са под непрекъснато наблюдение за предпазване от щети, причинени от екологични инциденти, неразрешен достъп и други фактори, които могат да повлияят на сигурността на услугата. 4. Съоръженията, използвани за предоставянето на услугата, осигуряват ограничаването до оправомощени служители или подизпълнители на достъпа до зоните за съхранение или обработка на лична, криптографска или друга чувствителна информация. |
|
Значително |
Същите, както за нивото „ниско“. |
|
Високо |
Същите, както за нивото „ниско“. |
2.4.6.
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
1. Наличието на пропорционални технически проверки за управление на рисковете за сигурността на услугите с цел с цел защита на обработваната информация по отношение на нейната поверителност, цялостност и разполагаемост. 2. Електронните канали за комуникация, които се използват за обмен на лична или чувствителна информация, са защитени срещу подслушване, манипулиране и възпроизвеждане. 3. Достъпът до чувствителен криптографски материал, ако се използва такъв за издаване на средства за електронна идентификация и за удостоверяване на автентичност, е ограничен до роли и приложения, за които този достъп е абсолютно необходим. Трябва да се гарантира, че такъв материал никога не се съхранява продължително време като некодиран текст. 4. Съществуват процедури, за да се гарантира постоянно поддържане на сигурността, а също е налице способност да се реагира на промени в нивата на риска, инциденти и пробиви в сигурността. 5. Всички носители, съдържащи лична, криптографска или друга чувствителна информация, се съхраняват, транспортират и унищожават по сигурен и безопасен начин. |
|
Значително |
Същите, както за нивото „ниско“, плюс: Ако за издаване на средства за електронна идентификация и за удостоверяване на автентичност се използва чувствителен криптографски материал, той е защитен срещу подправяне. |
|
Високо |
Същите, както за нивото „значително“. |
2.4.7.
|
Ниво на осигуреност |
Необходими елементи |
|
Ниско |
Наличие на периодични вътрешни одити, обхващащи всички части, които са от значение за предоставянето на услугите, за да се гарантира спазването на съответната политика. |
|
Значително |
Наличие на периодични независими вътрешни или външни одити, обхващащи всички части, които са от значение за предоставянето на услугите, за да се гарантира спазването на съответната политика. |
|
Високо |
1. Наличие на периодични независими външни одити, обхващащи всички части, които са от значение за предоставянето на услугите, за да се гарантира спазването на съответната политика. 2. Когато дадена схема се управлява пряко от държавен орган, одитът за нея се извършва в съответствие с националното законодателство. |