РЕШЕНИЕ НА КОМИСИЯТА

от 4 май 2010 година

относно плана за сигурност за работата на Визовата информационна система

(2010/260/ЕС)

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз,

като взе предвид Регламент (ЕО) № 767/2008 на Европейския парламент и на Съвета от 9 юли 2008 г. относно Визовата информационна система (ВИС) и обмена на данни между държави-членки относно визите за краткосрочно пребиваване (Регламент за ВИС) (1), и по-специално член 32 от него,

като има предвид, че:

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

ГЛАВА I

ОБЩИ РАЗПОРЕДБИ

Член 1

Предмет

Решението определя организацията и мерките за сигурност (план за сигурност) по смисъла на член 32, параграф 3 от Регламент (ЕО) № 767/2008.

ГЛАВА II

ОРГАНИЗАЦИЯ, ЗАДЪЛЖЕНИЯ И УПРАВЛЕНИЕ НА ИНЦИДЕНТИ

Член 2

Задачи на Комисията

1.   Комисията прилага и наблюдава ефективността на мерките за сигурност за централната ВИС и комуникационната инфраструктура, посочени в настоящото решение.

2.   Комисията определя служител по сигурност на системата от длъжностните си лица. Служителят по сигурността на системата се назначава от генералния директор на Генерална дирекция „Правосъдие, свобода и сигурност“ на Комисията. Задачите на служителя по сигурността на системата по-специално включват:

Член 3

Местен служител по сигурността за централната ВИС

1.   Без да се засяга член 8, Комисията определя местен служител по сигурността за централната ВИС от длъжностните си лица. Конфликтите на интереси между задълженията на местния служител по сигурността и всяко друго официално задължение се предотвратяват. Местният служител по сигурността за централната ВИС се назначава от генералния директор на Генерална дирекция „Правосъдие, свобода и сигурност“ на Комисията.

2.   Местният служител по сигурността за централната ВИС осигурява мерките по сигурността, посочени в настоящото решение, да бъдат изпълнявани и процедурите по сигурността да бъдат следвани в основната централна ВИС. По отношение на резервната централна ВИС местният служител по сигурността за централната ВИС осигурява мерките по сигурността, посочени в настоящото решение, с изключение на тези, посочени в член 10, да бъдат изпълнявани и процедурите по сигурността, свързани с нея, да бъдат следвани.

3.   Местният служител по сигурността за централната ВИС може да прехвърли всяка от своите задачи на подчинени служители. Конфликтите на интереси между задължението за изпълнение на тези задачи и всяко друго официално задължение се предотвратяват. Единичен телефонен номер и адрес за връзка позволяват свързването с местния служител по сигурността или неговия или нейния подчинен на служба по всяко време.

4.   Местният служител по сигурността за централната ВИС изпълнява задачите, произтичащи от мерките за сигурност, които трябва да бъдат взети на площадките на основната и резервната ВИС в рамките на параграф 1, като по-специално включват:

Член 4

Местен служител по сигурността за комуникационната инфраструктура

1.   Без да се засяга член 8, Комисията определя местен служител по сигурността за комуникационната инфраструктура от своите длъжностни лица. Конфликтите на интереси между задълженията на местния служител по сигурността и всяко друго официално задължение се предотвратяват. Местният служител по сигурността за комуникационната инфраструктура се назначава от генералния директор на Генерална дирекция „Правосъдие, свобода и сигурност“ на Комисията.

2.   Местният служител по сигурността за комуникационната инфраструктура наблюдава функционирането на комуникационната инфраструктура и осигурява това, че мерките по сигурността се прилагат, както и това, че процедурите по сигурността се изпълняват.

3.   Местният служител по сигурността за комуникационната инфраструктура може да прехвърли всяка от своите задачи на подчинени служители. Конфликтите на интереси между задължението за изпълнение на тези задачи и всяко друго официално задължение се предотвратяват. Единичен телефонен номер и адрес за връзка, позволяват свързването с местния служител по сигурността или неговия или нейния подчинен на служба по всяко време.

4.   Местният служител по сигурността за комуникационната инфраструктура изпълнява задачите, произтичащи от мерките за сигурност, свързани с комуникационната инфраструктура и които по-специално включват:

Член 5

Инциденти по сигурността

1.   Всяко събитие, което е имало или може да има въздействие върху сигурността на работата на ВИС и може да предизвика щети или загуба на ВИС, се разглежда като инцидент по сигурността, особено когато може да е бил осъществен достъп до данни или когато наличността, целостта и поверителността на данните са били или е могло да бъдат компрометирани.

2.   Политиката за сигурност установява процедури за възстановяване след инцидент. Инциденти по сигурността се управляват така, че да се осигури бърза, ефективна и правилна реакция в съответствие с политиката за сигурност.

3.   На засегнатата държава-членка се предоставя информация по отношение на инцидент по сигурността, който може да има въздействие върху работата на ВИС в държавата-членка или върху наличността, целостта и поверителността на данните за ВИС, въведени от държавата-членка. Служителят по защита на данните на Комисията се уведомява за инцидентите по сигурността.

Член 6

Управление на инциденти

1.   От всички служители и изпълнители на договори в разработването, управлението или експлоатацията на ВИС се изисква да отбелязват и докладват всички наблюдавани или подозирани слабости в сигурността в работата на ВИС съответно на служителя по сигурността на системата или на местния служител по сигурността за централната ВИС или на местния служител по сигурността на комуникационната инфраструктура.

2.   В случай на установяване на инцидент, който има или може да има въздействие върху сигурността на работата на ВИС, местният служител по сигурността за централната ВИС или местният служител по сигурността за комуникационната инфраструктура информира възможно най-бързо служителя по сигурността на системата и когато е необходимо единичната национална контактна точка за сигурността на ВИС, ако във въпросната държава-членка съществува такава контактна точка, писмено, или в случай на изключителна спешност, посредством други комуникационни канали. Докладът съдържа описанието на инцидента по сигурността, степента на риск, възможните последици и мерките, които са били, или следва да бъдат предприети, за да се смекчи рискът.

3.   Всички доказателства във връзка с инцидент по сигурността се запазват незабавно съответно от местния служител по сигурността за централната ВИС или местния служител по сигурността за комуникационната инфраструктура. В степента, в която позволяват приложимите разпоредби за защита на данните, такива доказателства се предоставят на служителя по сигурността на системата при поискване от негова страна.

4.   Въвеждат се процеси за обратна връзка, за да се осигури, че информацията за резултатите се съобщава, след като инцидентът е отработен и приключен.

ГЛАВА III

МЕРКИ ЗА СИГУРНОСТ

Член 7

Политика за сигурност

1.   Генералният директор на Генерална дирекция „Правосъдие, свобода и сигурност“ установява, актуализира и редовно преглежда обвързваща политика за сигурност в съответствие с настоящото решение. Политиката за сигурност предоставя подробните процедури и мерки за защита срещу заплахи за наличността, целостта и поверителността на ВИС, включително планиране за извънредни ситуации с цел да се осигури необходимото ниво на сигурност, както е предписано от настоящото решение. Политиката за сигурност е в съответствие с настоящото решение.

2.   Политиката за сигурност се базира на оценка на риска. Мерките, описани от политиката за сигурност, са пропорционални на идентифицираните рискове.

3.   Оценката на риска и политиката за сигурност се актуализират, ако технологичните промени, идентифицирането на нови заплахи или някакви други обстоятелства правят това необходимо. Във всички случаи на политиката за сигурност се прави преглед ежегодно, за да се гарантира, че все още осигурява подходящ отговор на последната оценка на риска или на всяка друга новоидентифицирана технологична промяна, заплаха или друго подобно обстоятелство.

4.   Политиката за сигурност се изготвя от служителя по сигурността на системата при координиране с местния служител по сигурността за ВИС и местния служител по сигурността за комуникационната инфраструктура.

Член 8

Изпълнение на мерките за сигурност

1.   Изпълнението на задачи и изисквания, установени в настоящото решение и в политиката за сигурност, включително задачата за определяне на местен служител по сигурността, могат да бъдат възложени или поверени на частни или публични образувания.

2.   В този случай Комисията осигурява посредством правнообвързващо споразумение, че изискванията, установени в настоящото решение и в политиката за сигурност, са спазени напълно. В случай на делегиране или възлагане с договор на задачата за определяне на местен служител по сигурността Комисията осигурява посредством правнообвързващо споразумение, че ще бъде потърсено становището ѝ относно лицето, което ще бъде определено за местен служител по сигурността.

Член 9

Контрол на достъпа до съоръженията

1.   За защита на районите, на които са разположени съоръжения за обработка на данни, се използват периметри за сигурност с подходящите бариери и контрол на входовете.

2.   В периметрите за сигурност се дефинират обезопасени зони за защита на физически компоненти (активи), включващи хардуер, носители и конзоли за данни, планове и други документи за ВИС, както и офиси и други работни места за персонала, участващ в експлоатацията на ВИС. Тези обезопасени зони се защитават с подходящ контрол на входовете, за да се гарантира, че достъп се позволява само на персонал, който е упълномощен. Работата в обезопасените зони е предмет на подробни правила за сигурност, определени в политиката за сигурност.

3.   Предвижда се и се монтира физическата сигурност за офиси, стаи и съоръжения. Точките за достъп като зоните за доставка и товаро-разтоварни дейности и други точки, през които неупълномощени лица могат да влязат в помещенията, се контролират и, ако е възможно, се изолират от съоръженията за обработка на данни, за да се избегне достъпът без разрешение.

4.   Проектира се и се прилага пропорционално на риска физическа защита на периметрите за сигурност срещу повреда от природни или предизвикани от човека бедствия.

5.   Оборудването се защитава от физически и екологични заплахи и от възможности за неразрешен достъп.

6.   Ако Комисията притежава такава информация, тя добавя към списъка, посочен в член 2, параграф 2, буква e), единична контактна точка за наблюдението и изпълнението на разпоредбите на настоящия член в помещенията, в които е разположена резервната централна ВИС.

Член 10

Контрол на носителите на данни и на активите

1.   Сменяем носител, който съдържа данни, се защитава срещу неразрешен достъп, неправилна употреба или повреда, а разчитането му се осигурява за целия живот на данните.

2.   Освобождаването от носителите, когато повече не са необходими, се извършва по сигурен и безопасен начин в съответствие с подробните процедури, които ще бъдат определени в политиката за сигурност.

3.   Инвентарни списъци осигуряват наличието на информация за мястото на съхранение, приложимия срок на запазване и разрешенията за достъп.

4.   Определят се всички важни активи на централната ВИС и на комуникационната инфраструктура, така че да могат да бъдат защитени в съответствие с важността им. Води се актуален регистър на съответното ИТ оборудване.

5.   Осигурява се актуална документация на централната ВИС и на комуникационната инфраструктура. Такава документация трябва да е защитена срещу неразрешен достъп.

Член 11

Контрол на съхранението

1.   Вземат се подходящи мерки за осигуряване на правилно съхранение на информацията и предотвратяване на неразрешения достъп до нея.

2.   Всички елементи на оборудването, съдържащи носители за съхранение на данни се проверяват, за да се гарантира, че чувствителните данни са били премахнати или напълно заличени преди освобождаването от тях, или се унищожават по сигурен начин.

Член 12

Контрол на пароли

1.   Всички пароли се съхраняват безопасно и се третират с поверителност. В случай на подозрение, че дадена парола е била разкрита, паролата се сменя незабавно или съответният потребителски достъп се прекратява. Използват се уникални и индивидуални идентификации за потребителите.

2.   В политиката за сигурност се дефинират процедури за вход и изход, за да се предотврати неразрешен достъп.

Член 13

Контрол на достъпа

1.   За целите на оперативното управление политиката за сигурност установява официална процедура за регистриране и прекратяване на регистрацията на персонала за даване и отнемане на достъп до хардуера и софтуера на ВИС в централната ВИС. Определянето и използването на подходящи атрибути за достъп (пароли или други подходящи средства) се контролира посредством официален управленски процес, както е определен в политиката за сигурност.

2.   Достъпът до хардуера и софтуера на ВИС в централната ВИС:

3.   В централната ВИС се използват само конзолите и софтуера, разрешени от местния служител по сигурността за централната ВИС. Използването на системни възможности, които може да са способни да заобиколят контролите на системата и на приложенията, се ограничава и контролира. Въвеждат се процедури за контрол на инсталирането на софтуер.

Член 14

Контрол на комуникациите

Комуникационната инфраструктура се наблюдава с цел осигуряване на наличност, цялост и поверителност на обмена на информация. Използват се средства за криптиране, за да се защитят данните, предавани по комуникационната инфраструктура.

Член 15

Контрол на записа на данни

Правата на достъп на лица, упълномощени за достъп до софтуера на ВИС от централната ВИС, се наблюдават от местния служител по сигурността за централната ВИС. Регистрира се използването на тези права на достъп, което включва времето и самоличността на потребителя.

Член 16

Контрол на транспорта

1.   В политиката за сигурност се определят подходящи мерки за предотвратяване на неразрешено четене, копиране, промяна или заличаване на лични данни по време на предаване към или от ВИС или по време на транспортирането на носители на данни. В политиката за сигурност се установяват разпоредби по отношение на допустимите типове изпращане или транспорт, както и по отношение на процедурите за отчетност за транспортирането на предмети и пристигането им в тяхното местоназначение. Носителят на данни не съдържа никакви други данни, освен данните, които трябва да бъдат изпратени.

2.   Услугите, предоставени от трети страни, които включват оценка, обработване, комуникации или управление на съоръжения за обработка на данни или добавянето на продукти или услуги към съоръженията за обработка на данни, имат подходящи интегрирани контроли за сигурност.

Член 17

Сигурност на комуникационната инфраструктура

1.   Комуникационната инфраструктура се управлява и контролира по подходящ начин с цел да бъде защитена от заплахи и да се осигури сигурността както на самата комуникационна инфраструктура, така и на централната ВИС, включително на данните, обменяни през нея.

2.   Характеристиките на сигурността, нивата на обслужване и управленските изисквания на всички мрежови услуги се идентифицират в мрежово споразумение за обслужване с доставчика на услуги.

3.   Освен защитата на точките на достъп на ВИС се защитават и всички допълнителни услуги, използвани от комуникационната инфраструктура. В политиката за сигурност се дефинират подходящите мерки.

Член 18

Наблюдение

1.   Регистри, записващи информацията, посочена в член 34, параграф 1 от Регламент (ЕО) № 767/2008, свързана с всеки достъп до и всички операции по обработка на данни в рамките на централната ВИС, се съхраняват по сигурен начин във, и достъпни от помещенията, в които са разположени площадките на основната и резервната централна ВИС, за срока, посочен в член 34, параграф 2 от Регламент (ЕО) № 767/2008.

2.   В политиката за сигурност се създават процедури за наблюдение на използването или на грешки в съоръженията за обработка на информация, и резултатите от дейностите по наблюдение се преглеждат редовно. Ако е необходимо, се предприемат подходящи действия.

3.   Устройствата за водене на регистри и регистрите се защитават срещу злонамерена намеса и неразрешен достъп с цел да се изпълнят изискванията за събиране и запазване за срока на запазване на доказателства.

Член 19

Мерки за криптиране

За защитата на информацията, когато е необходимо, се прилагат мерки за криптиране. Тяхното използване, заедно с целите и условията, трябва да бъдат одобрени предварително от служителя по сигурността на системата.

ГЛАВА IV

СИГУРНОСТ НА ЧОВЕШКИТЕ РЕСУРСИ

Член 20

Профили на персонала

1.   Политиката за сигурност дефинира функциите и отговорностите на лицата, които имат разрешен достъп до ВИС, включително комуникационната инфраструктура.

2.   Свързаните със сигурността роли и отговорности на персонала на Комисията, изпълнителите по договори и персонала, участващ в оперативното управление, се дефинират, документират и съобщават на засегнатите лица. В описанието на длъжността и в целите се посочват ролите и отговорностите на персонала на Комисията; в договорите или в споразуменията за нивото на обслужване се посочват тези за изпълнителните на договори.

3.   Споразуменията за поверителност и служебна тайна се сключват с всички лица, към които не се прилага служебен правилник на Европейския съюз или на публична служба на държава-членка. Персоналът, който трябва да работи с ВИС, преминава през необходимата проверка за сигурност или процедура на сертифициране в съответствие с подробните процедури, определени в политиката за сигурност.

Член 21

Информиране на персонала

1.   Целият персонал и когато е необходимо, всички изпълнители на договори получават подходящо обучение за рисковете за сигурността, правните изисквания, политиките и процедурите, в степента, изисквана от техните задължения.

2.   При приключване на трудовите взаимоотношения или договора, отговорностите за персонала и изпълнителите на договори, свързани с промяна на работата или приключване на трудовите взаимоотношения, се определят в политиката за сигурност, както и се създават процедури в политиката за сигурност за връщане на активите и за прекратяване на правата за достъп.

ГЛАВА V

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 22

Приложимост

1.   Настоящото решение се прилага от датата, определена от Комисията в съответствие с член 48, параграф 1 от Регламент (ЕО) № 767/2008.

2.   Срокът на действие на настоящото решение изтича, когато управителният орган поеме своите задължения.

(1)  ОВ L 218, 13.8.2008 г., стр. 60.

(2)  ОВ L 8, 12.1.2001 г., стр. 1.

(3)  ОВ L 194, 23.7.2008 г., стр. 3.