Политика за информационна сигурност

I. ОБЩИ ПОЛОЖЕНИЯ

Чл.1. (1)  Настоящата Политика за информационна сигурност в Българската национална телевизия (БНТ), наричана за краткост Политиката, е в съответствие с Общ Регламент за защита на данните (ОРЗД), Закона за защита на личните данни (ЗЗЛД) и Наредба за минималните изисквания за мрежова и информационна сигурност. 

(2)  Политиката се отнася до управлението на сигурността на информационните и физически активи, свързани с обработването на информация - в това число и на лични данни, както и правилата за достъп в компютърната мрежа на БНТ. 

Чл.2. (1)  С настоящата Политика за информационна сигурност в Българската национална телевизия (БНТ) във връзка с Процедура по приемане на план за технически и организационни мерки се определят:

1.начини на защита с парола;

2.автоматично заключване на бездействащи работни станции в мрежата;

3.премахване/ограничаване на права на достъп за USB и други преносими носители с памет;

4.антивирусен софтуер и защитни стени;

5.защита на преносими устройства, които напускат помещенията на БНТ, като лаптопи или други;

6. сигурност на локалните и широкообхватните мрежи;

7.технологии за подобряване на поверителността, като например псевдонимизиране и анонимизиране;

8. блокиране на зловреден софтуер чрез технологични средства;

9. правила за електронни таблици и други източници на данни, които се попълват чрез експортиране на данни за връзка с клиентите и профили за поща;

10. архивите за електронна поща, които съдържат лични данни и възможността за прилагане на криптиране към тази информация;

11. неизползване на служебната електронна поща за различни кампании, онлайн гейминг, регистриране в различни сайтове за електронна търговия и др.

12. анализ на необходимостта от използване на решения за шифроване на имейли, които могат да се използват и за криптиране на всички данни, които текат в доставчик на облак-офис приложения, включително файлове;

13. преглед и анализ на необходимостта от прилагане на решения за шифроване на лични данни в съществуващ формат на базата данни, наречен Format Preserving Encryption (FPE). FPE значително подобрява нивото на защита на данните, като същевременно не изисква реконструкция на настоящи системи и приложения. Този стил на криптиране на данни позволява шифроване на данни, докато са в покой, в употреба или в движение, защото съществуващата база данни и приложенията могат да продължат да функционират нормално;

14. преглед и анализ на необходимостта от решения за защита на компютърните устройства от загуба или кражба;

15. идентифициране на подходящи международни стандарти за сигурност, подходящи за БНТ

(2)  Политиката се прилага и при използване на облачни услуги за съхранение и споделяне.

Чл.3. Политиката се отнася до всички, свързани с Българската национална телевизия (БНТ) в София и Регионалните телевизионни центрове в Пловдив, Варна, Русе и Благоевград, Творчески дом на БНТ, к.к. Пампорово и Почивен дом на БНТ - Китен, лица - работници, служители, контрагенти, временно наети лица или служители на трети лица, както и за членовете на Управителния съвет на БНТ. 

II. РЕД И НАЧИНИ ЗА ЗАЩИТА С ПАРОЛА НА ДИГИТАЛИЗИРАНИТЕ ИНФОРМАЦИОННИ АКТИВИ

Чл.4. За достъп до информационните ресурси се използват два вида пароли: потребителски и администраторски съобразно акаунтите.

Чл.5. (1) Управлението на паролите за достъп до информационните ресурси се извършва чрез политиките за сигурност на Активната директория. 

(2) Изключение от правилото са информационните системи, които не са интегрирани с Активната директория и паролите се управляват локално.

Чл.6. (1)  Дължината на потребителските пароли трябва да е минимум 8 символа.

(2)  Дължината на администраторските пароли трябва да е минимум 12 символа.

(3)  Паролите трябва да бъдат комбинация от големи и малки букви на латиница, цифри и специален знак.

(4) В паролата не трябва да фигурират части или цялото потребителско име.

Чл.7. (1)  Периодът на смяна на потребителските и администраторски пароли е на 6 месеца, а за изключенията е на 3 месеца.

(2)  Всеки потребител носи лична отговорност да пази конфиденциалността на паролите които използва.

(3)  Паролите са персонални и не се предоставят на други лица.

III. ПРАВИЛА ЗА ЗАКЛЮЧВАНЕ НА РАБОТНИТЕ СТАНЦИИ ПРИ НЕИЗПОЛЗВАНЕ ЗА ОПРЕДЕЛЕН ПЕРИОД ОТ ВРЕМЕ

Чл.8. (1)  Автоматичното заключване на устройството се задава за изминали секунди на неактивност.

(2)  В случай че неактивното време надвишава ограничението за неактивност, сесията на потребителя се заключва чрез извикване на скрийнсейвъра. 

(3)  Устройствата трябва да се заключват не само когато времето на неактивност надвиши ограничението за неактивност, но и когато скрийнсейвърът се активира или когато дисплеят се изключи поради настройки на захранването.

Чл.9. (1)  За да бъде предотвратен неоторизиран достъп, устройството на всеки потребител трябва да се заключва след кратък период на бездействие.

 (2)  Компютърът не трябва да се оставя отключен при отсъствието на служител, тъй като всеки може да получи достъп до него и да променя, изтрива или споделя данни от компютъра.

  (3)  Задължително е използването на настройка, която автоматично ще заключи работния плот, след като компютърът е неактивен за определен период от време, така че за да се възобнови възможността за работа с  компютъра да се въведе паролата на потребителя.

IV. ПРЕМАХВАНЕ/ОГРАНИЧАВАНЕ НА ПРАВА НА ДОСТЪП  ЗА USB И ДРУГИ ПРЕНОСИМИ НОСИТЕЛИ С ПАМЕТ 

Чл.10. (1)  За защитата на USB устройствата и други преносими носители с памет, се предприемат следните действия:

1. съставяне на списък с информация за всички преносими устройства за съхранение, които се използват; 

2. извършване на периодични проверки, за да установи как се използват USB устройствата и други преносими носители с памет ;

3. криптиране на информацията на USB устройствата и други преносими носители с памет, които се изнасят извън сградата на БНТ;

4. ограничаване на използването на USB устройства и други преносими носители с памет до конкретни служители или до ограничаване на достъпа до USB портове; 

5. деактивиране на AutoRun, така че програмите на USB устройство и други преносими носители с памет да не се изпълняват автоматично, когато устройството е поставено;

6. ограничаване на използването на тези устройства въз основа на правила в активната директория и членство в домейн за да се избегнат USB заплахи;  

(2)  За задаване на ограничения за USB устройствата и други преносими носители с памет и тяхното блокиране и деблокиране  според  нуждите, е възможно използване на система за управление на USB сигурността, като се контролират всички USB устройства в мрежата.

(3)  Системите за управление на USB сигурността предотвратяват кражба на данни, като същевременно предпазват от злонамерен софтуер, въведен от устройствата на служителите .

V. АНТИВИРУСЕН СОФТУЕР И ЗАЩИТНИ СТЕНИ

Чл.11. (1)  Всички персонални компютри трябва да имат инсталиран антивирусен софтуер, работещ в реално време, който се обновява.

(2)   Сектор „Информационни технологии“ извършва следните дейности:

1. активира защитата на съответните ресурси - файлова система, електронна поща и извършва първоначално пълно сканиране на системата;

2. настройва антивирусния софтуер за периодични сканирания през определен период от време;

3. активира защитата на различните програмни продукти за предупреждение при наличие на макроси и настройва защитната стена на система;

4. проверява за правилно настроен софтуер за автоматично обновяване на операционната система и инсталирания софтуер;

(3)  При поява на съобщение от антивирусната програма за вирус в локалната мрежа, всеки служител от съответното работно място задължително информира служител от сектор „Информационни технологии“;

(4)  Програмните продукти, предназначени за откриване на опити за проникване, следва да разпознават най-малко следните подозрителни действия в мрежата:

1. опити да се използват услуги, блокирани от защитни стени;

2. неочаквани заявки, особено от непознати адреси;

3. неочаквани шифровани съобщения;

4. извънредно активен трафик от непознати сървъри и устройства;

5. значителни изменения на предишни действия на мрежата;

6. опити за използване на известни системни грешки или уязвимости;

7. опити за вход от непознати потребители от неочаквани адреси;

8. несанкционирано или подозрително използване на администраторски функции;

9. значителни изменения в обичайните действия на потребител 

VI. ПРАВИЛА ЗА РАБОТА С ПРЕНОСИМИ НОСИТЕЛИ В БЪЛГАРСКАТА НАЦИОНАЛНА ТЕЛЕВИЗИЯ И ПРИ ИЗНАСЯНЕТО ИМ ИЗВЪН БНТ 

Чл.12.  Не се разрешава да се използват лични преносими компютри в мрежата на БНТ, без одобрението на сектор „Информационни технологии“.

Чл.13. При ползване на безжична интернет свързаност (включително и на обществени места) трябва да се използва защитена мрежа, която има криптиране по протокол WPA2 или мобилен интернет.

Чл.14. (1) При транспортиране с автомобил, преносимият компютър се съхранява в багажното отделение.

(2) Не се допуска оставяне на преносимия компютър в автомобил без надзор.

Чл.15. На преносимия компютър трябва да се инсталира софтуер от разрешения по утвърден списък и да се конфигурира съгласно добрите практики за сигурност и вътрешните правила.

Чл.16. За изпълнение на служебните си задължения се допуска служителите да използват външни носители USB Flash Drive, CD/DVD и външен диск, само в случаите когато са предоставени от БНТ и са описани в списъка.

Чл.17. (1) Всички външни носители се зачисляват на служителите персонално съгласно установения ред. 

(2) Преди използване на външни носители на информация, служителите са длъжни да ги проверят за вируси.

(3) Всеки служител носи персонална отговорност за съхранението на зачисления му външен носител;

Чл.18. (1)  Не се разрешава да се изнасят външни носители извън сградата на БНТ, освен ако не се съхраняват архиви на други локации.

(2) Не се разрешава на външен носител да се съхранява чувствителна информация; 

(3) Не се разрешава да се съхраняват различни категории информация на един и същ външен носител освен при архивиране;

(4) Носителите трябва да бъдат маркирани със съответното ниво на информация, която се съхранява на тях;

VII.  СИГУРНОСТ  НА ЛОКАЛНИТЕ И ШИРОКООБХВАТНИТЕ МРЕЖИ

Чл.19. (1) Всички външни връзки до локалната мрежа трябва да бъдат придружени от валидна обосновка в писмена форма, която е одобрена от ръководителя на съответното структурно звено и съгласувана с началник сектор „Информационни технологии“ и директор на дирекция „Техника и технологии“.

 (2) Всички нови заявки за свързване на локалната мрежа с доставчик на услуги трябва да става след подписване на съответния договор.

Чл.20. (1)  Всяка нова връзка към вътрешната мрежа на БНТ  трябва да премине през преглед на сигурността от сектор „Информационни технологии“.

(2) Целта на прегледите е да се гарантира, че целият достъп отговаря по най-добрия възможен начин на изискванията и че се спазва принципът на най-малък достъп.

Чл.21. (1)  Всички промени в достъпа на външни лица и организации трябва да бъдат придружени от валидна  обосновка и подлежат на проверка за сигурност. 

(2)  Промените в достъпа трябва да бъдат отразени в системата.

(3)  Когато достъпът вече не е необходим,  сектор „Информационни технологии“ трябва да уведоми насрещната страна, че ще прекрати достъпа. 

Чл.22. (1)  Сектор „Информационни технологии“ извършва ежегодна проверка, за да гарантира, че всички съществуващи връзки все още са необходими и че предоставеният достъп отговаря на нуждите на БНТ. 

(2)  Връзките, за които се установи, че вече не се използват, трябва да бъдат прекратени незабавно. 

VIII.  ПСЕВДОНИМИЗИРАНЕ И АНОНИМИЗИРАНЕ

Чл.23. Псевдонимизацията  е обработването на лични данни по такъв начин, че личните данни не могат повече да бъдат свързвани с конкретен субект на данни, без да се използва допълнителна информация, при условие че тя се съхранява отделно и е предмет на технически и организационни мерки с цел да се гарантира, че личните данни не са свързани с идентифицирано физическо лице или с физическо лице, което може да бъде идентифицирано

Чл.24. Анонимните данни са лични данни, които са направени анонимни по такъв начин, че лицето не е идентифицирано или вече не може да се идентифицира. 

Чл.25. (1) Техниките, които могат да се използват за псевдонимизиране  и за анонимизиране на лични данни са следните:

1. Подмяна - подмяната на данни означава, че се променят данните за регистрираните лица, докато все още има връзка между данните. 

2. Разбъркване -  смесване на букви, цифри и символи и чрез техники за кодиране като криптиране и хеширане.

3. Маскиране - маскирането означава, че част от информацията е скрита с помощта на произволни знаци или други данни. 

(2) За нуждите на анализа могат да се използват псевдонимизирани и анонимизирани лични данни,  с цел извличане на информация за тенденции и различни статистически показатели.

Чл.26. Когато личните данни се запазват след срока на обработването, те трябва бъдат съхранявани по подходящ начин (минимизирани, криптирани, псевдонимизирани), за да се защити самоличността на субекта на данните в случай на нарушение на защитата на данните.

IX.  БЛОКИРАНЕ НА ЗЛОВРЕДЕН СОФТУЕР ЧРЕЗ ТЕХНОЛОГИЧНИ СРЕДСТВА

Чл.27. Всички компютри в Българската национална телевизия трябва да имат инсталирано антивирусно приложение и приложение за защита от шпионски софтуер, които предлагат защита в реално време на файлове и приложения, работещи на целевата система.

Чл.28. (1) Служителите от сектор „Информационни технологии“ инсталират и поддържат само версии на използвания в системите на администрацията софтуер и фърмуер, които се поддържат от техните доставчици или производители и са актуални от гледна точка на сигурността.

(2) Не се допуска използване на софтуер и фърмуер, които са спрени от поддръжка по отношение на сигурността. За целта началник  на сектор „Информационни технологии“ своевременно планира и предлага за включване в годишните цели необходимите ресурси за миграция към нови версии.

 (3) Списъкът с одобрения за използване софтуер се утвърждава от директор на дирекция „Техника и технологии“. Списъкът се актуализира ежегодно.

Чл.29. (1)  Инсталиране и актуализиране на софтуер и фърмуер  се извършва само от служителите на сектор „Информационни технологии“ и доставчици на информационни системи, които имат администраторски акаунт.

(2)   На всички останали служители, имащи потребителски акаунти им се забранява да инсталират и актуализират софтуер и фърмуер.

Чл.30. (1) Актуализация на софтуера и фърмуера се извършва при идентифицирани нови версии, ъпдейти и пачове, които отстраняват уязвимости по сигурността, или мерки за смекчаването им, публикувани от производителите или доставчиците. 

(2) Контролът се извършва от  служителите на сектор „Информационни технологии“ и  доставчиците на информационни системи.

Чл.31. (1)  Служителите от отдел ИТ: 

1. съхраняват off-line копие от актуалните конфигурационни файлове; 

2. проверяват копията периодично относно качество и годност;

3. периодично правят проверка на конфигурационните файлове и настройките на системи и устройства за нерегламентирани изменения.

X. ПРАВИЛА ЗА ЕЛЕКТРОННИ ТАБЛИЦИ И ДРУГИ ИЗТОЧНИЦИ НА ДАННИ, КОИТО СЕ ПОПЪЛВАТ ЧРЕЗ ЕКСПОРТИРАНЕ НА ДАННИ ЗА ВРЪЗКА С КЛИЕНТИТИ И ПРОФИЛИ ЗА ПОЩА

Чл.32. (1) Сектор „Информационни технологии“ осъществява контрол за:

1. копията от бази данни, съдържащи лични данни, взети за тестване, разработване или аналитични цели; 

2. електронни таблици и други източници на данни, попълнени чрез експортиране на данни за контакт и профилиране на клиенти за обединяването им в групи за изпращане на поща. 

(2) Имейл архивите, независимо дали се съхраняват в локална папка, в мрежово хранилище или в облак, съдържат лични данни, които трябва да бъдат защитени съгласно ОРЗД.

Чл.33. Огромните обеми данни, които съществуват в неструктурирани форми в БНТ, трябва да бъдат идентифицирани, каталогизирани и класифицирани чрез внедряване на подходящи технологии.

XI. СЛУЖЕБНА ЕЛЕКТРОННА ПОЩА

Чл.34. (1)  Всеки служител на БНТ има право да използва системата за електронна поща на БНТ и персоналния си служебен адрес единствено и само в помощ на процеса по изпълнение на служебните си задължения.

(2) Всяко използване на имейл трябва да е в съответствие с „Правила за предоставяне и ползване на ИТ услуги и защита на информационните технологии в Българската национална телевизия“.

Чл.35. (1) Системата за електронна поща на БНТ не трябва да се използва за създаване или разпространение на неморални, нецензурни или обидни съобщения, включително обидни коментари относно раса, пол, цвят на кожата, увреждания, възраст, сексуална ориентация, порнография, религиозни вярвания и практики, политически убеждения или национален произход. 

(2)  Служителите, които получават имейли с такова съдържание от който и да е служител на БНТ, трябва незабавно да докладват за въпроса на своя ръководител.

Чл.36. (1)  Всички данни за БНТ, съдържащи се в имейл съобщение или прикачен файл, трябва да бъдат защитени в съответствие със стандарта за защита на данните.

(2)  Получените имейли трябва да се запазват само ако съществува законна и текуща причина да се запази информацията, съдържаща се в имейла.

Чл.37. (1)  На потребителите е забранено:

1. автоматично да препращат имейли към имейл система на трета страна; 

2. да използват системи за електронна поща на трети страни и сървъри за съхранение, като Google, Yahoo , abv, mail.bg  и т.н., за да извършват кореспонденция от името на БНТ и  да създават или потвърждават каквито и да било обвързващи действия;

3. да изпращат верижни писма или имейли с шега от имейл акаунт на БНТ;

4. да използват служебната поща за различни кампании, онлайн гейминг, регистрация в сайтове за електронна търговия, съобщения и др.;

5. да запомнят пароли в браузъра

(2)  Индивидуалните съобщения, които се препращат от потребителя, не трябва да съдържат поверителна информация.

(3) Имейлите, които не са свързани със служебните задължения, трябва да се запазват в отделна папка от имейлите, свързани със служебните задължения.

Чл.38. БНТ може да наблюдава съобщения в системата за електронна поща без предварително уведомление, но не е задължена да наблюдава имейл съобщенията.

XII. КРИПТИРАНЕ НА ИНФОРМАЦИЯ

Чл.39.  (1) В случаите, в които чувствителна информация трябва да бъде препратена към външни за БНТ получатели с цел изпълнение на служебни задължения, то тя следва да бъде криптирана.

(2)  Чувствителна е информацията, която съдържа следните лични данни:

1. лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения;

2. членство в професионална организация;

3. генетични данни, биометрични данни, обработвани единствено с цел идентификацията Ви като човешко същество;

4. данни за здравословното състояние;

5. данни за сексуалния живот или сексуалната ориентация на дадено лице.

(3)  Криптирането трябва да защитава данните, докато се съхраняват и докато се използват в приложения, за да гарантира че ако възникне пробив в която и да е система, информацията остава поверителна. 

Чл.40. (1) Шифрирането на имейли може да бъде автоматизирано или чрез иницииране от потребител . 

(2)  Всички имейли, които съдържат чувствителна информация, трябва да бъдат защитени чрез криптиране.

(3)  Шифроването на имейл трябва да може да защитава както вътрешни, така и външни съобщения с чувствителна информация и всички прикачени файлове.

Чл.41. (1) Личните данни могат да се съхраняват във форма, която позволява на дадено лице да бъде идентифицирано не по-дълго от необходимото за постигане на целта, за която са били събрани или обработени личните данни. 

 (2) Съхранение на имейли, съдържащи лични данни се допуска във връзка с бъдещи действия по обследване и доказване на факти и събития. 

Чл.42. (1) За защитата на имейли, съдържащи лични данни се използва криптиране и съхраняване на имейли в безопасна и сигурна среда, където са защитени срещу неоторизиран достъп, случайно изтриване и подправяне – имейл архив.

(2)  В случай, че гражданин на ЕС упражни правото си на изтриване /правото да бъде забравен/, личните данни в имейлите също могат бързо да бъдат намерени, възстановени и изтрити,

(3)  Имейлите се запазват на пощенски сървър до напускане на служителя и се изтриват по негово лично желание, като се минимизират количеството данни, които се запазват и обработват.

XIII. ОБЛАЧНИ УСЛУГИ ЗА СЪХРАНЕНИЕ И СПОДЕЛЯНЕ

Чл.43. (1) При използване на облачни услуги за съхранение и споделяне, трябва да се:

1. избират и внедряват подходящи услуги за съхранение и споделяне на облак, които активно блокират или обезкуражават използването на неоторизирани услуги;

2. извършва активно наблюдение на действията за споделяне, за да се сведе до минимум вероятността от нарушаване на данните;

3. използва криптиране за защита на съхранените данни в услугата "облак" (криптиране на данни в режим на транзит, в употреба и в покой), независимо дали са предоставени пряко от самия доставчик или са активирани от трето лице, за да се осигури правилното ниво на намаляване на риска;

4. използват само облачни услуги, които са разработени така, че да отговарят на правата за достъп, коригиране и заличаване на субектите на данни, определени от ОРЗД и ЗЗЛД.

XIV. ЗАЩИТА НА КОМПЮТЪРНИТЕ УСТРОЙСТВА ОТ ЗАГУБА ИЛИ КРАЖБА 

Чл.44. За защитата на компютърните устройства от загуба или кражба, на служителите е забранено:

1.  да използват една и съща парола за своето мобилно устройство, имейл и всеки акаунт, свързан с работата;

2. да използват отворени обществени Wi-Fi мрежи, уязвими към атаки от хакери, които могат лесно да проникнат в устройство, да получат достъп до мрежата и да откраднат данни.

3. да правят модификации на хардуера или софтуера, които променят естеството на устройството по съществен начин (напр. подмяна или отмяна на операционната система) без изричното одобрение на сектор „Информационни технологии“.

Чл.45. Сектор „Информационни технологии“  си запазва правото, чрез прилагане на политиката и всякакви други средства, които счете за необходими, да ограничи възможността на крайните потребители да прехвърлят данни към и от специфични ресурси във вътрешната мрежа.

Изменения и допълнения в настоящата Политика за информационна сигурност в Българската национална телевизия се извършват по реда на нейното утвърждаване.

Настоящата Политика за информационна сигурност в Българската национална телевизия е приета с Решение на УС на БНТ – Протокол №  10/13.03.         2025 г.  и влиза в сила на 13.03.2025 г.