|
Постановление № 186 от 19 юли 2019 г. за приемане на Наредба за минималните изисквания за мрежова и информационна сигурност
|
|
Изискване
|
Вендор / Техническо решение
|
Технологична област
|
|
Управление на информационните активи
Чл. 8. (1) Субектът приема вътрешни правила по смисъла на чл. 5, ал. 1, т. 6, регламентиращи процеса на управление на жизнения цикъл на информационните и комуникационните системи и техните компоненти. Вътрешните правила трябва еднозначно да указват условията, начина и реда за придобиване, въвеждане в експлоатация, поддръжка, преместване/изнасяне, извеждане от експлоатация и унищожаване на информационни и комуникационни системи и техните компоненти.
(2) Описът на информационните активи по смисъла на чл. 5, ал. 1, т. 1 съдържа информация, необходима за разрешаването на инциденти, анализ и оценка на риска, управление на уязвимости и управление на измененията ...
|
FortiNAC
|
Asset Management, Device Visisbility, Device Compliance, Device provisioning workflows, NAC, Network Segmentation, Device / Host Isolation
|
|
Управление на взаимодействията с трети страни
Чл. 10. (1) При установяване на взаимоотношения с доставчици на стоки и услуги, наречени „трети страни“, Субектът трябва да договори изисквания за мрежова и информационна сигурност ...
(2) Субектът определя служител/служители, отговарящ/отговарящи за спазване на изискванията по ал. 1 и параметрите на нивото на обслужване.
(3) Субектът изготвя план за действие в случай на неспазване на уговорените дейности и клаузи с третата страна.
|
FUDO
тикет система на Контракс Сервиз
|
PAM, Sessions Monitoring, Recording and Management (blocking fo certain commands, alerts for unauthoraized access attempts, etc.)
|
|
Управление на измененията в информационните активи
Чл. 11. (1) Субектът приема вътрешни правила за управление на измененията във важните за дейността му информационни активи в съответствие с изискването на чл. 5, ал. 1, т. 6 с цел намаляване на риска от инциденти, настъпили в резултат на изменения във важните за дейността му информационни активи, и по-точно в информационните и комуникационните системи и обслужващата ги инфраструктура, в процесите и дейностите, в конфигурациите, в софтуера или във фърмуера.
(2) Преди да се извърши изменението, Субектът трябва да направи анализ и оценка на риска в съответствие с чл. 7...
|
FortiSIEM CMDB
McAffee Threat Risk Management
|
Change and Risk Management Process of Network Security Policies
|
|
Сигурност при разработване и придобиване на информационни и комуникационни системи
Чл. 12. (1) При разработване на проекти и технически задания Субектът включва адекватни и комплексни изисквания за мрежова и информационна сигурност, основани на анализ и оценка на риска, с цел да се гарантира, че изискваното ниво на сигурност на информацията, мрежите и информационните системи е заложено още в етапа на разработка и внедряване.
(2) Субектът въвежда в експлоатация нови информационни и комуникационни системи планирано и след успешно проведени и документирани тестове, доказващи защитата на информацията от загуба на достъпност, интегритет и конфиденциалност.
|
Test Drive, Workshop, Proof of Concept, Pilot Implementation
FortiTester
|
Services
Test equipment and software against attack an treats; ATT&CK MITRE
|
|
Сегрегация
Чл. 13. (1) Субектът поддържа информационна и комуникационна инфраструктура, която гарантира, че информационните и комуникационните системи, изпълняващи различни функции, са разделени и изолирани помежду си физически и/или логически, както и че са разделени и изолирани от информационните и комуникационните системи на трети страни, с цел да се ограничи разпространението на инциденти с мрежовата и информационната сигурност.
(2) В случай че дадена система е съставена от подсистеми, разделянето им трябва да се осъществи на последно физическо или логическо ниво, като уеб сървърът, сървърът с приложния софтуер и сървърът с базата данни на една информационна система трябва да са разположени на различни машини и в различни мрежи.
|
NGFW & Security Fabric:
FortiGate + FortiSwitch +
+ Forti AP + FortiNAC + Central management & reporting
NGFW:
Cisco Firepower
CheckPoint
PaloAlto
|
Automated isolation, guest network, quarantine network, VLANs with inspection for inter-VLAN traffic, automated responce
and quarantine
Next Generation Firewalls(NGFW)
|
|
Филтриране на трафика
Чл. 14. (1) Субектът гарантира, че трафикът между отделните системи и техните подсистеми е контролиран чрез подходящо филтриране (по IP адрес, по протокол, по номер на порт от Transmission Control Protocol (TCP)/Internet Protocol (IP) стека и т. н.) с цел превенция на евентуални атаки и ограничаване на разпространението на инциденти. Филтрирането на трафика трябва да бъде по предварително разписани и одобрени правила, основаващи се на функционалността и сигурността, които трябва да бъдат редовно проверявани за нерегламентирани изменения и да бъдат актуализирани с оглед на нововъзникващи заплахи.
(2) Ненужните портове по протоколи TCP и User Datagram Protocol (UDP) трябва да бъдат забранени чрез адекватно конфигуриране на използваните софтуерни решения, хардуерни устройства и оборудване за защита и контрол на трафика.
|
NGFW:
Fortinet Fortigate,
Cisco Firepower
Check Point
Palo Alto
|
Datacenter NGFW, inspection of East-West traffic
|
|
Неоторизирано използване на устройства
Чл. 15. (1) Субектът приема ясно дефинирани политики относно използването на:
1. лични технически средства в мрежата, която контролират;
2. преносими записващи устройства.
(2) Политиките се отразяват във вътрешните правила, като се предприемат подходящи и реципрочни на заплахите мерки за реализирането им.
|
FortiNAC
Cisco Identity Services Engine
|
NAC - Network Acess Control
|
|
Криптография
Чл. 16. (1) Субектът разработва политика и вътрешни правила съгласно чл. 5, ал. 1, т. 6 за прилагане на криптографски механизми, които се използват за гарантиране на конфиденциалността и интегритета на чувствителната информация в съответствие с нейната класификация.
(2) Криптографските механизми се съобразяват с уязвимостта на информацията към заплахи за нейните конфиденциалност и интегритет и с нормативните и регулаторните изисквания към нейното създаване, съхраняване и пренасяне.
|
Microsoft, Acronis
Encryption
|
Encryption
|
|
Администриране на информационните и комуникационните системи
Чл. 17. (1) Субектът прилага следните мерки за защита на профилите с административни права за информационните и комуникационните системи и техните компоненти ...
|
Active Directory, One Identity;
Central Management for active equipment (FortiManager)
FortiAuthenticator centralized AAA server
Cisco Identity Services Engine
|
Central management solutions have administrator rules, herarchy of admins, revocation of admin rights etc.
Admin account integration with Active Directory and HR software
can use tokens for additional access security (two-factor authentication)
|
|
Среда за администриране
Чл. 18. (1) Субектът използва отделна, подходящо защитена среда (мрежа, система, софтуер и др.) за целите на администриране на информационните и комуникационните системи и техните компоненти. Тази среда трябва да е изолирана от другите информационни и комуникационни системи на Субекта и от интернет и да не се използва за други цели.
(2) В случай че администрирането на информационните и комуникационните системи и техните компоненти не се осъществява през средата по ал. 1, потоците на тази информация трябва да са защитени чрез механизми за удостоверяване и криптиране.
|
Management VLAN Segmentation
VPN
FUDO
|
Micro Segmentation
Secure communication
Administrator isolation (proxy)
|
|
Управление на достъпите
Чл. 19. Субектът е длъжен да дава достъп до информационните и комуникационните си системи на потребител или автоматизиран процес само когато този достъп е строго необходим на потребителя, за да изпълни задълженията си, или на автоматизирания процес да извърши необходимите технически операции. За да гарантира, че достъп до информационните и комуникационните му системи имат само оторизирани потребители, устройства (включително други информационни системи) и автоматизирани процеси ...
|
Active Directory, One Identity;
Central Management for active equipment (FortiManager)
FortiAuthenticator centralized AAA server
Cisco Identity Services Engine
|
Central management solutions have administrator rules, herarchy of admins, revocation of admin rights etc.
Admin account integration with Active Directory and HR software
|
|
Защита при отдалечен достъп/работа от разстояние
Чл. 20. При необходимост от достъп до информационни активи извън мрежата, контролирана от Субекта, се спазват изискванията на чл. 19, включително:
1. се използва най-малко двуфакторна автентикация;
2. се използват само канали с висока степен на защита като Virtual Private Network (VPN);
3. не се използват File Transfer Protocol (FTP) и Remote Desktop Connection.
|
IPSec/SSL VPN Concentrator
Fortinet FortiGate
Cisco Firepower
Check Point
Palo Alto
FortiAuthenticator + tokens
|
VPN, SSL/TLS
MFA (Multi-factor authentication)
|
|
Защита на софтуер и фърмуер
Чл. 22. (1) Субектът инсталира и поддържа само версии на използвания в системите му софтуер и фърмуер, които се поддържат от техните доставчици или производители и са актуални от гледна точка на сигурността.
(2) Административният орган, съответно ръководителят на субекта по чл. 1, ал. 1, т. 2 – 5, одобрява софтуера, който се използва в информационните и комуникационните системи.
(3) Субектът поддържа библиотека с дистрибутиви на използвания софтуер и фърмуер с цел намаляване на времето за възстановяване на дадена система след срив.
(4) Субектът предприема мерки за:
1. недопускане на инсталирането и използването на неодобрен софтуер и фърмуер;
2. контрол върху използвания софтуер и фърмуер, включително неговата актуалност.
(5) Субектът приема вътрешни правила и инструкции за регламентиране на действията ...
|
Acronis
Nessus Vuln. Scaner
FortiClient Vuln. Scan
FortiSIEM Configuration and Asset Management
|
Monitoring and Control of installed SW, versions, updates, Planning of tests, upgades and updates, Regular Vulnerability Testing, Backup
|
|
Защита от зловреден софтуер
Чл. 23. (1) Субектът прилага в информационната и комуникационната си инфраструктура подходящи мерки за защита от проникване и мерки за откриване и справяне със зловреден софтуер.
(2) Мерките за защита от зловреден софтуер трябва ...
|
McAfee
Kasperski
FortiClient
FortiMail
Cisco Advanced Malware Protection
Cisco Email Security Appliance
|
Endpoint Protection
|
|
Защита на уеб сървъри
Чл. 24. (1) Субектът предприема следните мерки за защита на уеб сървърите ...
|
Sertificate management
FortiWEB
FortiADC
|
Web Application Firewall
|
|
Защита на Domain Name System (DNS)
Чл. 25. Субектът трябва да предприеме следните мерки за защита на DNS ...
|
FortiDNS
|
DNS Security
|
|
Защита на индустриални системи за контрол
Чл. 27. В случай че Субектът използва индустриални системи за контрол, от функционирането и сигурността на които зависят съществените услуги, които предоставя, той е задължен да приложи подходящи мерки за тяхната защита в съответствие с изискванията на наредбата, ако са приложими.
|
FortiGate
Cisco
Check Point
Palo Alto
|
NGFW, Devices Visisbility & Control, PAM
|
|
Наблюдение
Чл. 28. (1) Субектът използва система/системи за автоматично откриване на събития, които могат да повлияят на мрежовата и информационната сигурност на важните за дейността му системи, чрез анализ на информационни потоци, протоколи и файлове, преминаващи през ключови устройства, позиционирани така, че да могат да анализират всички потоци, обменяни между собствените им информационни и комуникационни системи, както и с информационните и комуникационните системи на трети страни.
(2) Субектът организира чрез вътрешни правила и/или инструкции действията за наблюдение и реакция на сигналите от тази/тези система/системи.
|
FortiGate
Cisco Firepower
Check Point
Palo Alto
FortiDeceptor
NVision11
|
NGFW, Deception, file monitoring
|
|
Системни записи (logs)
Чл. 29. По отношение на системните записи Субектът гарантира ...
|
NTP server (FortiGate);
Syslog server (FortiAnalyzer)
FortiSIEM
|
Syslog, SIEM
|
|
Управление на инциденти с мрежовата и информационната сигурност
Чл. 30. (1) Във вътрешните правила по смисъла на чл. 5, ал. 1, т. 6 се регламентират всички дейности при обработката на сигнали и реакция при инциденти ...
|
Fortinet Security Fabric
(FortiGate + FortiSwitch + FortiAP + FortiNAC + FortiAnalyzer + FortiManager+FortiSIEM)
Cisco
McAfee
|
SIEM, SOAR
|
|
Уведомяване за инциденти
Чл. 31. (1) При инцидент с мрежовата и информационната сигурност служителят или административното звено, отговарящо за мрежовата и информационната сигурност по смисъла на чл. 3, ал. 2, уведомяват съответния секторен екип за реагиране при инциденти с компютърната сигурност за инцидентите в сроковете, посочени в чл. 21, ал. 4 и 5 и чл. 22 от Закона за киберсигурност ...
|
Fortinet Security Fabric
(FortiGate + FortiSwitch + FortiAP + FortiNAC + FortiAnalyzer + FortiManager+FortiSIEM)
Cisco Firepower
McAfee
|
SIEM, SOAR
|
|
Резервиране и архивиране на информация
Чл. 32. (1) Вътрешните правила/инструкции по смисъла на чл. 5, ал. 1, т. 6 се разработват в съответствие с целите и стратегическите насоки, определени в политиката за мрежова и информационна сигурност относно защита на интегритета на информацията в случай на инцидент, засягащ нейната достъпност ...
|
Acronis
|
Backup
|
|
Резервиране на компоненти на инфраструктурата
Чл. 33. Субектът предприема подходящи и в съответствие с рисковете мерки за гарантиране на нивото на услугите и дейностите, които са в обхвата на наредбата, като:
1. резервиране на системи;
2. резервиране на устройства;
3. балансиране на натоварването на критични устройства или системи;
4. резервиране на центрове за данни.
|
All systems and components HA
FortiADC loadbalancing, FortiDNS loadbalancing
F5 BIG-IP
|
HA, LB, DNS
|
|
ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
§ 3. В срок 4 месеца от влизането в сила на наредбата субектите по чл. 1, ал. 1 привеждат дейността си в съответствие с глава втора.
§ 4. Наредбата се приема на основание чл. 3, ал. 2 от Закона за киберсигурност.
|
|
|
|
КЛАСИФИКАЦИИ НА ИНФОРМАЦИЯТА
С цел да се гарантира достатъчна, адекватна и пропорционална на заплахите защита на информацията, се прави преценка на важността и чувствителността й, както и на нормативните изисквания към нея. Въз основа на тази преценка информацията се разделя в няколко категории. Когато е приложимо, тази класификация се пренася и върху всички ресурси, които участват в създаването, обработването, съхраняването, пренасянето, разпространението и унищожаването на информацията, и към тях се прилагат подходящи мерки за защита, съответстващи на заплахите ...
|
McAfee Data Loss Prevention (DLP), FortiGate DLP, FortiMail DLP, Nvision11
F5 BIG-IP
|
DLP, Data Classification
|
|
Приложение № 3 към чл. 7, ал. 3
АНАЛИЗ И ОЦЕНКА НА РИСКА ЗА СИГУРНОСТТА НА ИНФОРМАЦИОННИТЕ И КОМУНИКАЦИОННИТЕ СИСТЕМИ
І. ВЪВЕДЕНИЕ
Управлението на риска за сигурността на информационните и комуникационните системи е част от политиката за управлението на мрежовата и информационната сигурност.
По своята същност управлението на риска представлява съвкупност от процеси за идентифициране на потенциалните заплахи към носителите на информация и активите, участващи в предоставянето на електронни услуги, анализ и оценка на рисковете, породени от тези заплахи.
ІІ. ОПРЕДЕЛЕНИЯ
Конфиденциалност – свойство на информацията да не е предоставена или разкрита на неоторизирани лица (т. 2.12 ISO/IEC 27000).
Интегритет – качество на информацията за точност и пълнота (т. 2.40 ISO/IEC 27000).
Наличност на информация – качество да бъде достъпна и използваема при поискване от оторизирано лице (т. 2.9 ISO/IEC 27000).
III. ЦЕЛИ ...
|
|
|
|
ИЗИСКВАНИЯ ЗА КОНФИГУРИРАНЕ
1. Да се забрани macros в office пакетите.
2. Да се забрани pop-up в браузерите.
3. Аuto play функцията да се конфигурира винаги да иска потвърждение на потребителя.
4. User Account Control да се конфигурира до най-високо ниво, така че винаги да издава предупреждения.
5. При споделянето на файлове и принтери да не се използва настройка Everyone, а да се указва кои акаунти точно да имат право на достъп до тях.
6. Да се забрани TRACE/TRACK методът.
7. Да се забрани anonymous authentication.
8. Да се използва Unicast Reverse-Path Forwarding (uRPF) за предпазване от използването на фалшиви IP адреси и rate-limiting за ограничаване на броя на заявките по IP адрес.
9. Да се забрани TLS renegotiation в системи, използващи TLS, или да се конфигурира rate-limiter за ограничаване на броя на предоговаряне на сесия.
10. Съобщенията за грешки в системите да не дават излишна информация.
11. Да не се използва AutoComplete.
12. Да се използват приложения (add-ons) към браузърите за блокиране на рекламно съдържание.
|
ActiveDirectory
Kasperski
McAfee
|
Endpoint Protection
|
|
ИЗИСКВАНИЯ КЪМ HEADERS НА ОТГОВОРИТЕ НА ЗАЯВКИ ЗА УЕБ САЙТОВЕТЕ
1. Headers на отговорите на заявките да не съдържат информация за платформите и версиите на използвания софтуер.
2. Headers на отговорите на заявките да съдържат следните опции:
а) HTTP Strict Transport Security (HSTS) – политика съгласно RFC 6797 на IETF от 2012 г., която принуждава уеб браузъра на клиента да се свърже директно чрез HTTPS при преразглеждане на уеб сайта; препоръчителна стойност на периода на валидност на кеша на HSTS (max-age) е поне шест месеца;
б) X-Content-Type-Options – инструктира потребителския браузър да следва стриктно типа MIME, дефиниран в Content header; единствената валидна стойност за този хедър е „X-Content-Type-Options-nosniff“;
в) X-XSS-Protection – настройва конфигурацията за XSS филтъра, вграден в повечето браузъри, което предотвратява някои категории XSS атаки; препоръчителна стойност „X-XSS-Protection: 1; mode=block“;
г) X-Frame-Options – дава указания на браузъра да не вкарва уеб страницатa във frame/iframe на други уеб страници; препоръчителна стойност „x-frame-options: SAMEORIGIN“;
д) Content-Security-Policy – предотвратява широк спектър от атаки, включително Cross-site scripting и други cross-site injections;
е) Referrer-Policy Header – позволява на сайта да контролира колко информация с навигация да се включва в браузъра извън документа;
ж) Feature-Policy Header – позволява на сайта да контролира кои функции и приложни програмни интерфейси (API) могат да се използват в браузъра;
з) HTTP Public Key Pinning (HPKP) – защитен механизъм, който позволява на HTTPS уеб сайтовете да се противопоставят на имитация от страна на атакуващите, използвайки неправилно издадени или лъжливи сертификати.
|
FortiWEB
FortiADC
F5 BIG-IP
|
LB, WAF
|
|
1. Тази таблица посочва продукти, свързани с наредбата за минималните изисквания за мрежова и информационна сигурност.
2. Това не са всички продукти, а само тези, с които КОНТРАКС най-усилено работи и има високи партньорски нива.
3. Продуктите, посочени в таблицата, сами по себе си не изпълняват изискванията изцяло, а подпомагат или улесняват решаването на проблемите. Наличието на съответните процедури, документация и административни мерки са голяма част от изискванията на наредбата.
|
