Рег. №: 1744788421-16.04.2025 | Министерство на електронното управление | Одобрено | Дата на подаване: 16.04.2025 | Срок:30.04.2025

Физическо лице |

Докладите и одитите, свързани със системите за електронна идентификация и сигурността на достъпа до електронни услуги за периода 2021–2024 г.

Докладите и одитите, свързани със системата за сигурно електронно връчване,които МЕУ разпорежда в рамките на всеки 6 месеца

Решение

---

Дата: 05.05.2025

По първото искане от заявлението:Докладите и одитите, свързани със системите за електронна идентификация и сигурността на достъпа до електронни услуги за периода 2021–2024 г.През декември 2023г. по линия на договор с ENISA (Агенцията за киберсигурност на Европейския съюз) за подпомагане на държавите-членки е извършен пенетрейшън тест от Delloite, като изпълнител по договора, на:https://egov.bg/https://egov.government.bg/https://edelivery.egov.bg/ ttps://clientc-regix.egov.bg/Резултатите са предоставени в доклад,класифициран TLP: AMBER+STRICT (https://www.first.org/tlp/), което означава, че ограничава споделянето само в рамките на организацията, съгласно чл. 6, ал. 7 от Наредбата за минималните изисквания за мрежова и информационна сигурност(НМИМИС).Отказвам предоставяне на достъпдо докладас резултатите от пенетрейшън теста по договора с ENISA, тъй като информацията в него не е публична и не представлява обществена информация по смисъла на чл. 2, ал. 1 от ЗДОИ, както и представлява защитена тайна съгласно чл. 7, ал. 1 от ЗДОИ във връзка с чл. 3, ал. 2 от Закона за киберсигурност и чл. 6, ал. 1 и ал. 7 от НМИМИС.На самостоятелно основание докладът не следва да се предостави и поради забраната на чл. 5 от ЗДОИ, свързана със защитата на националната сигурност и потенциални рискове, които могат да възникнат по отношение на нейната защита. Съгласно определението в чл. 2, ал. 1 от Закона за киберсигурност „Киберсигурност е състояние на обществото и държавата, при което чрез прилагане на комплекс от мерки и действия киберпространството е защитено от заплахи, свързани с неговите независими мрежи и информационна инфраструктура или които могат да нарушат работата им.“. Чл. 7, ал. 1 от Закона за киберсигурност предвижда, че системата за киберсигурност е част от системата за защита на националната сигурност.В докладите от извършенитепенетрейшън тестовесе съдържа специфична информация, отнасяща се до технически характеристики на тестваните информационни системи, включително такава,свързанас възможностите за вход в системите, технически спецификации, евентуални уязвимости и др. Предоставянето на тази информация, както и публикуването ѝ на Платформата за достъп до обществена информацияби предоставило достъп на потенциално неограничен кръг лица, включително недобросъвестни такива. Това от своя страна е в състояние да доведе до потенциални рискове за функционирането на тези системи, които са от значение за функционирането на цялата държавна администрация. Именно поради тези причини достъпът до информацията, съдържаща се в исканите доклади е ограничен и възможен само при спазване на принципа „необходимост дасе знае“. Повторото искане:Докладите и одитите, свързани със системата за сигурно електронно връчване, които МЕУ разпорежда в рамките на всеки 6 месеца,предоставям достъп, както следва: Съгласно чл.26а, ал.2 от Закона за електронното управление (всила от 19.09.2023 г.) министърът на електронното управление най-малко веднъж на две години възлага одит на Системата за сигурно електронно връчване (ССЕВ)на външен изпълнител. Правилата за провеждане на одита са уредени в Наредбата по чл. 12, ал. 4 от същия закон.В Централизираната автоматизирана информационна система „Електронни обществени поръчки“(ЦАИС ЕОП), на следния линк https://app.eop.bg/today/448074, е публикувана обществена поръчка с предмет: „Одит на Систематаза сигурно електронно връчване,съгласно чл. 27, ал. 6, ал. 7 и ал. 8 от Наредбата за общите изисквания за информационните системи регистрите и електронните административни услуги (НОИИСРЕАУ)”.Ниво на конфиденциалност 0[TLP-White]Обхватът на обществената поръчката включва:-оценка на приложимите общи контроли и контроли на ниво приложения, осигуряващи надеждността на данните в ССЕВ;-предоставяне на увереност относно съответствието на процесите в ССЕВ със законодателството, политиките и стандартите, приложими за одитирания обект;-предоставяне на увереност, че ИТ ресурсите обезпечават постигането на целите на организацията ефикасно и ефективно, както и че приложимите общи контроли и контроли на ниво приложения не допускат, установяват и коригират случаите на нецелесъобразно или неефективно използване и управление на ССЕВ.Определената дата в ЦАИС ЕОП за отваряне на получените оферти за изпълнение на обществената поръчка е 30 април 2025 г. Срокът за изпълнение на поръчката, посочен в Техническата спецификация, е 45 дни, считано от датата на възлагането.Обобщение на доклада от извършения одит на ССЕВ ще се публикува на интернет страницата на Министерството на електронното управление след отразяване на препоръките в него, но не по-късно от 6 месеца след получаването му от министъра на електронното управление, в съответствие с чл. 26а, ал. 3 от Закона за електронното управление.

35