С участието на близо 300 представители от местните администрации се проведе последното от трите онлайн обучения, касаещи дейността на общините в областта на електронното управление.
При изключителен интерес преминаха и първите две обучения, посветени на Методическите указания за преминаване на вътрешен електронен документооборот и разяснения за използването на RegiX и надграждането на Системата за сигурно електронно връчване чрез създаване на нови шаблони на съобщения. Общият брой общински представители и в трите обучения надхвърли 1500.
На 17 октомври 2023 г. влезе в сила Директива (ЕС) 2022/2555 на Европейския парламент и на Съвета на Европа (Директива МИС-2), която обхваща над 100 000 организации в Европа, включително местните администрации. За общините това означава, че е необходимо изграждането на цялостна система от защитни мерки – разработването на подробни процедури за оценка и управление на риска, създаването на ефективни механизми за докладване и реагиране при инциденти, въвеждането на регулярно тестване на системите за сигурност и осигуряването на непрекъснато повишаване на квалификацията на служителите.
„Новите изисквания вменяват значителни отговорности и необходимост от фундаментални промени в организацията на работата на общините, тъй като те съхраняват значителни обеми чувствителна информация, а разполагат с ограничени финансови ресурси за модернизация на мрежите и системите за сигурност“, заяви изпълнителният директор на НСОРБ Силвия Георгиева при откриването на срещата и добави, че най-сериозен проблем е дефицитът на специализиран ИТ персонал.
Създаването на междуобщински ИТ звена е отговор на това предизвикателство и НСОРБ е в готовност да подпомогне експертно и юридически това начинание. местните власти за обособяването на тази споделена услуга. Държавата нееднократно в разговори с нас е заявила, че подкрепя обособяването на споделени услуги сред общините с финансов ресурс, информира още Силвия Георгиева.
„Киберсигурността е сложен пъзел, съставен от много части. В днешния ден заплахите се развиват със същата скорост, както и технологиите. Да бъдеш в крак с новостите и да разполагаш с необходимите знания вече не е опция, а задължение“, заяви пред участниците в срещата Бисерка Радева, началник-отдел „Анализи и развитие на киберсигурността“ в МЕУ и обърна внимание на дефиницията на термина „киберсигурност“.
Експертът информира, че се очаква в НС да бъде гласуван ЗИД на Закона за киберсигурност, след което предстои актуализация на подзаконовата нормативна уредба и предоставяне на Методика за прилагане на законодателството, както и Стратегия за оценка и управление на риска.
Бисерка Радева запозна участниците с институционалния модел за киберсигурност, според проектозакона, в който са определени ролите и отговорностите на различните звена в процеса. Три са нивата за работа в държавата – оперативно, техническо и политическо, като МЕУ и общините си взаимодействат основно за техническите ангажименти.
Новата директива МИС-2 определя публичната администрация като сектор с висока степен на критичност и я включва към минималните изисквания за киберсигурност.
Въвеждат се по-строги правила за контрол и санкции, като глобите за нарушаване на киберсигурността са значителни. Общините ще подлежат на проверки и санкции при неспазване на изискванията, включително за неправилно управление на киберрисковете.
Радева обърна внимание на една от промените в новия регламент – разширяване на обхвата на задължените субекти, с което се цели високо ниво на киберсигурност и в други икономически сектори. Другата промяна е въвеждането на лична отговорност на ръководствата на организациите за пропуски в киберсигурността.
Общините са квалифицирани като „съществени субекти“, което касае интензитета на мерките, които следва да имплементират с оглед нормативно съответствие, както и размера на потенциалните санкции при неизпълнение.
Докладвайте за инциденти, информацията ще се използва само за превантивни мерки. Идеята е да предпазим от евентуални заплахи други административни органи, които ползват подобни системи, призова Бисерка Радева.
Тя поясни значението на термина „значителен инцидент“ и представи детайлно процесът по докладването му.
„Риск“ е потенциалната възможност дадена заплаха да се осъществи, като се използва уязвимост и информационната система. Киберрискът обикновено се отнася или до загуба на репутация (което касае общините), или на финанси. Това заяви експертът по мрежова и информационна сигурност в МЕУ Светослав Цветков.
Той представи пред участниците в обучението етапите при управлението на риска в детайли – идентифициране на активите и заплахите; анализ и оценка; третиране и реакция; комуникация и консултиране; мониторинг и преглед.
„За да има управление на риска, трябва да знаем какви са нашите активи – хора, процеси и технологии“, добави експертът.
Освен гарантиране на добро ниво на защита, важна мярка за превенция на риска е обучението на служителите как да разпознават и да реагират при получаване на спам съобщения, да ползват само сигурни пароли, да не отварят имейли и документи, които не очакват и т.н.
Експертът от МЕУ Гергана Ракова обърна внимание на един от секторите, който попада в дейността на МИС-2 – производството, преработката и дистрибуцията на храни в Румъния България.
По време на обучението бе обърнато внимание на необходимостта от поддържане на архиви на няколко места, вкл. офлайн, криптиране на данни, постоянно разработване на процедури и политики за оценка на риска и сигурността на информационните системи.
От представителите на местните власти се поставиха конкретни въпроси за препоръчителните стандарти за сигурност системите в малки и средни общини, как да организира контролът на достъп и автентикацията в информационните системи на общините, възможност за създаване на шаблони за вътрешни политики по информационна сигурност за улеснение на администрацията, както и какви механизми за одит или самооценка на сигурността на мрежите препоръчва МЕУ.
По време на обучението бе обърнато внимание на необходимостта от поддържане на архиви на няколко места, вкл. офлайн, криптиране на данни, постоянно разработване на процедури и политики за оценка на риска и сигурността на информационните системи.
НСОРБ благодари на МЕУ за готовността да подпомогне местните администрации в прилагането на нормативните изисквания в областта на електронното управление и осигуряването на киберзащита.
/ИИ/