Приложение №14 мерки за постигане сигурност по отношение на персонала

1. 
   За постигане на информационна сигурност по отношение на персонала, ръководителите на администрациите са длъжни да предприемат следни мерки за идентификацията на служителите и оправомощаването им да извършват определени действия по отношение на експлоатацията на информационните системи:
   

б) достъпът на служителите в държавната администрация до специализираните информационни системи се осъществява със служебни потребителско име, парола и удостоверение за публичен ключ;

в) осигуряването на права за достъп на различни групи служители и ръководители до ресурсите на информационните системи в съответната администрация да се извършва на базата на утвърдените профили съгласно чл. 63 ал. 2 от наредбата.

г) за всеки служител в администрацията да бъде определена принадлежност към профил, съответстващ на служебните му задължения, вписани в длъжностната характеристика;

д) служителите в администрацията да имат право на достъп само до тези ресурси на информационните системи в администрацията, в която работят или до системите на други администрации, само доколкото са им необходими за изпълнение на служебните задължения, съгласно длъжностната им характеристика;

е) всяка година да се провеждат опреснителни курсове по мрежова и информационна сигурност, през които да преминават всички служители в администрацията;

2. 
   Приложението за проверка на удостоверения за публични ключове (вкл. електронни подписи) по чл.64, ал.1 от наредбата трябва да използва процедурата за проверка чрез Certificate Revocation Lists (CRL), базиран на спецификацията RFC 3280 на IETF (Internet Engineering Task Force) или по протокол OCSP (Online Certificate Status Protocol), основан на спецификацията RFC 2560 на IETF.