Мярка 1 - Управление на риска и политики за сигурност на ИС

Какво изисква: писмена обща политика за сигурност на информационните системи, методология за оценка на риска, регистър на рисковете с актуални оценки и подкласификация (висок, среден, нисък), процес на третиране на риска (приемане, ограничаване, прехвърляне, избягване), периодичен преглед.

Артефакти за ОЕЦ: главна политика подписана от УС, методология базирана на ISO 27005 или NIST SP 800-30, попълнен регистър на риска с поне 30 риска (по-малко звучи формално), протокол от тримесечен преглед на риска, доказателство че рисковете водят до действия (тикети, проекти, бюджетни редове).

Минимум: Excel регистър на рисковете, актуализиран на 6 месеца, политика от 3-5 страници. Одобрена практика: регистър в инструмент (ServiceNow GRC, Eramba, Wazuh, или дори SharePoint списък), интегриран с проектните задачи, тримесечен преглед, ESG-съответствие.

Индикативна цена: 0 - 18 000 лв./г. (вътрешно изпълнение) или 6 000 - 24 000 лв./г. (Eramba/Hyperproof license)

Мярка 2 - Управление на инциденти (откриване, реакция, докладване)

Какво изисква: Incident Response (IR) план, дежурно дежурство за откриване (минимум работни часове, препоръчително 24/7 за съществени субекти), процедура за класификация на инциденти, шаблони за уведомление в 24 и 72 часа към ОЕЦ, годишно учение.

Артефакти за ОЕЦ: IR план (NIST SP 800-61 като рамка е стандарт), регистър на инцидентите с поне 12-месечна история (включва и „малки" неща, не само сериозни пробиви), уведомления до ОЕЦ за минали инциденти (или explicit decision че нямате такива), запис от tabletop exercise проведено в последните 12 месеца.

Минимум: Excel или Jira за регистър, имейл за известяване на дежурния, IR план от 6-10 страници. Одобрена практика: SIEM (Microsoft Sentinel или Wazuh) с активни правила за откриване, on-call система (PagerDuty, Opsgenie), документиран MTTR ще се измерва.

Индикативна цена: 4 000 - 36 000 лв./г. за SIEM + 0 - 18 000 лв. за on-call инструменти. MSSP за 24/7 откриване: 36 000 - 96 000 лв./г.

Мярка 3 - Непрекъсваемост, бекъп и възстановяване от бедствие

Какво изисква: Business Continuity Plan (BCP) и Disaster Recovery Plan (DRP), бекъп стратегия 3-2-1 (3 копия, 2 различни носителя, 1 извън сайта), дефинирани RTO/RPO за критични системи, тестване на възстановяване минимум веднъж годишно.

Артефакти за ОЕЦ: BCP/DRP документи с конкретни RTO/RPO стойности (не „възможно най-бързо"), бекъп политика, протокол от последно тестване на restore (с реален файл, който е бил възстановен от бекъпа, с дата и подпис на изпълнителя), доказателство за immutability на бекъпите (срещу ransomware атака).

Минимум: Veeam Backup & Replication с локални копия и седмично копие в облачен blob storage, ръчно тестване на restore веднъж годишно. Одобрена практика: Veeam + immutable backup target (Cloudian, Wasabi с object lock), автоматизирано месечно тестване на restore, изолиран DR сайт с RTO под 4 часа.

Индикативна цена: 6 000 - 24 000 лв./г. за бекъп лицензи и storage + 12 000 - 60 000 лв./г. за DR инфраструктура (ако се изисква нискo RTO).

Мярка 4 - Сигурност на веригата за доставки

Какво изисква: регистър на ИКТ доставчици (всеки SaaS, on-prem софтуер, хардуер, MSP), оценка на риска от тях, договорни клаузи за киберсигурност (право на одит, нотификация на инцидент, изисквания за подизпълнители, изисквания за криптиране и MFA), процес за onboarding/offboarding на доставчик.

Артефакти за ОЕЦ: попълнен регистър с минимум 20-30 доставчика (всеки един имейл инструмент, всеки CRM, антивирусна, accounting софтуер брои), security questionnaire (SIG, CAIQ или вътрешен) попълнен за критичните, доказателство за договорни клаузи (екран от подписан договор с подчертани релевантни клаузи).

Минимум: Excel регистър, вътрешен 15-въпросен questionnaire попълнен за всеки доставчик с достъп до production данни. Одобрена практика: third-party risk management платформа (OneTrust, Prevalent, или по-евтината SecurityScorecard за continuous monitoring), договорна клауза template одобрена от юридическия отдел.

Индикативна цена: 0 - 18 000 лв./г. вътрешно или 18 000 - 60 000 лв./г. за TPRM платформа.

Мярка 5 - Сигурност при разработка, придобиване и поддръжка на ИС

Какво изисква: SDLC (Secure Software Development Lifecycle) политика ако имате собствен софтуер, прегледи на код преди merge, статичен анализ (SAST), управление на уязвимости (vulnerability management), patch management процедура, процес за приемане на нови ИС в production.

Артефакти за ОЕЦ: SDLC политика, GitHub/GitLab branch protection rules скриншот (изискване за code review преди merge), пайплайн с SAST стъпка (Semgrep, SonarQube), доклад за уязвимости от последен пентест (или vuln scan), patch management отчет показващ time-to-patch за critical CVE за последните 6 месеца.

Минимум: Open-source SAST в CI/CD (Semgrep, Bandit), Tenable Nessus Pro за vuln scanning, ръчен patch management. Одобрена практика: Snyk или GitGuardian за зависимости и secrets, SonarQube за code quality, автоматизиран patch management чрез WSUS/Intune за Windows, Ansible/Salt за Linux.

Индикативна цена: 4 000 - 12 000 лв./г. за vuln scanner + 6 000 - 36 000 лв./г. за SAST/SCA tooling. Пентест веднъж годишно: 8 000 - 30 000 лв.

Мярка 6 - Оценка на ефективността на мерките

Какво изисква: вътрешен одит на ИБ контролите минимум веднъж годишно, KPI/метрики за измерване на сигурността, регулярни прегледи на ръководството (management review) минимум два пъти годишно, корективни действия от вътрешен одит проследени до приключване.

Артефакти за ОЕЦ: план на вътрешен одит, доклад от последно изпълнен одит, dashboard или отчет с KPI (MTTR за инциденти, % покритие на MFA, патч време, % успешен симулиран фишинг), протокол от management review с конкретни решения и срокове, регистър на корективни действия.

Минимум: вътрешен одит ИБ човек или външен консултант веднъж годишно, Excel KPI dashboard. Одобрена практика: ISO 27001 акредитиран вътрешен одитор, GRC платформа за проследяване на действията, автоматизиран KPI от SIEM/Defender.

Индикативна цена: 3 000 - 12 000 лв./г. за външен вътрешен одит. GRC платформа: вече покрита в Мярка 1.

Мярка 7 - Криптография и шифроване

Какво изисква: политика за криптография, шифроване на данни в покой (BitLocker на лаптопи, EFS на сървъри, TDE в бази данни), шифроване в движение (TLS 1.2+ за всичко, забрана на legacy SSL/TLS 1.0/1.1), управление на ключове, политика за криптографски стандарти (одобрени алгоритми, дължини на ключове).

Артефакти за ОЕЦ: крипто политика (одобрени алгоритми: AES-256, RSA-2048+, SHA-256+), Microsoft Intune compliance report показващ % устройства с BitLocker, SSL Labs или вътрешен сканер отчет за всички външни домейни (всичко на A или A+), Azure Key Vault или Hashicorp Vault конфигурация за централизирано управление на ключове, доказателство за periodic key rotation.

Минимум: BitLocker enforced чрез GPO, TLS 1.2+ enforced на reverse proxy, ръчно управление на сертификати чрез Let's Encrypt + manual renewal. Одобрена практика: Intune-managed BitLocker, Azure Key Vault за сертификати с auto-rotation, HSM (Hardware Security Module) за критични ключове, ACME за всички сертификати.

Индикативна цена: 0 лв. (вградено в M365 E3+), Azure Key Vault: 600 - 6 000 лв./г. HSM при нужда: 24 000 - 120 000 лв. еднократно.

Мярка 8 - Сигурност на персонала (HR security)

Какво изисква: background проверки преди наемане (където е допустимо по ЗЗЛД), подписани NDA-та и политики за приемлива употреба, формализиран процес при напускане (отнемане на достъп, връщане на активи), сегментиране на достъпа според ролята, политика за дистанционна работа.

Артефакти за ОЕЦ: HR security политика, шаблон за background check съгласие, подписан NDA за всеки служител (включително временни и стажанти), offboarding checklist с подпис от HR/IT/manager и дата (за поне 5 последни напускания), доказателство че достъпите се отнемат в рамките на 1 ден от напускане (от лог на AD/M365).

Минимум: ръчен offboarding checklist, ръчно изтегляне на лога. Одобрена практика: автоматизиран offboarding workflow (Power Automate, ServiceNow), интеграция HR-IT (BambooHR + Okta SCIM), задължително 30-дневно архивиране на пощата на напуснал служител.

Индикативна цена: 0 лв. ако имате HRIS + M365, или 12 000 - 36 000 лв./г. за HRIS-IT интеграция (Okta, JumpCloud).

Мярка 9 - Контрол на достъпа

Какво изисква: Role-Based Access Control (RBAC), принцип на най-малката привилегия, периодичен преглед на достъпите (тримесечен за критични системи), отделни привилегировани акаунти за администраторски функции, JIT (Just-In-Time) достъп за чувствителни ресурси където е възможно, забрана за споделени акаунти.

Артефакти за ОЕЦ: матрица на ролите (кой какъв достъп има), отчет от последен access review (със собствените на всеки актив и дата на подпис), Azure AD/Entra Privileged Identity Management (PIM) конфигурация ако имате M365, доказателство че няма shared admin акаунти (списък на Domain Admins).

Минимум: Excel матрица на ролите, тримесечен ръчен преглед на достъпите. Одобрена практика: Microsoft Entra PIM с JIT activation, IGA инструмент (Microsoft Entra Governance, SailPoint, Saviynt) за automated access reviews и certifications.

Индикативна цена: 0 лв. ако имате M365 E5 (включва PIM), или 12 000 - 24 000 лв./г. за Entra ID P2 add-on (~18 лв./потребител/месец).

Мярка 10 - Управление на активите

Какво изисква: регистър на ИТ активите (хардуер, софтуер, данни, информационни системи), собственик на всеки актив, класификация на чувствителност (поверителен, вътрешен, публичен), процес за onboarding и offboarding на актив, периодична инвентаризация.

Артефакти за ОЕЦ: CMDB или Excel регистър с минимум 200 записа за компания от 100+ души (всеки лаптоп, сървър, виртуална машина, SaaS, document repository, бази данни), отчет от автоматизиран inventory tool (Intune device list, Lansweeper), класификация на данните (data classification labels в M365), data flow diagram за критичните потоци.

Минимум: Excel CMDB + Intune device list, ръчно поддържан. Одобрена практика: Lansweeper или Snipe-IT за discovery, Microsoft Purview за data classification, ServiceNow CMDB интегриран с discovery tool.

Индикативна цена: 3 000 - 12 000 лв./г. за discovery tool (Lansweeper Pro ~3 500 лв.), Microsoft Purview включен в M365 E5.

Мярка 11 - Многофакторно удостоверяване (MFA) и сигурни комуникации

Какво изисква: MFA задължително за всички потребители (не само за административни), MFA на всички външно-достъпни системи (VPN, RDP, SaaS), забрана на legacy authentication, защитена комуникация чрез TLS, S/MIME или PGP при нужда за подписани/шифровани имейли.

Артефакти за ОЕЦ: Conditional Access policy screenshot от Entra ID показваща block за legacy auth, MFA enforcement report (Sign-in logs показващи % MFA challenges), VPN config с RADIUS+MFA, phishing-resistant MFA за administrators (FIDO2/Windows Hello for Business, не само Authenticator).

Минимум: Microsoft Authenticator MFA за всички, Conditional Access блокиращ legacy auth. Одобрена практика: phishing-resistant MFA (YubiKey FIDO2 за административни роли), Number Matching в Authenticator, Conditional Access базиран на risk level от Identity Protection.

Индикативна цена: 0 лв. (включено в M365 Business Standard+) + ~120 лв. еднократно на YubiKey за ~10-15 администратора (~2 000 лв.).

Мярка 12 - Защита на гласови, видео и текстови комуникации, авариен канал

Какво изисква: защитен канал за вътрешни обаждания (Teams, Zoom Business+, Signal за чувствителни обсъждания), резервен канал за комуникация при инцидент (когато основният канал може да е компрометиран), забрана на консумерски месинджъри за служебна работа (WhatsApp на лични устройства за служебни цели).

Артефакти за ОЕЦ: комуникационна политика, описание на основния и резервния канал (например Teams primary + Signal Group за управление при ransomware), Teams admin center конфигурация показваща end-to-end encryption опция за чувствителни обаждания, забрана на запис на чувствителни срещи без одобрение.

Минимум: Teams + забрана за работа чрез WhatsApp в писмена политика, Signal Group за CISO/CTO/CEO/CFO/Legal като авариен канал. Одобрена практика: Teams Premium с End-to-End Encryption за critical обаждания, dedicated out-of-band ledger за incident response контакти (хартиен или офлайн).

Индикативна цена: 0 лв. (всичко включено в M365 + безплатен Signal), Teams Premium при нужда: ~14 лв./потребител/месец.

Мярка 13 - Обучение по кибер-хигиена и осведоменост

Какво изисква: годишно обучение по информационна сигурност за всички служители, специализирано обучение за ИТ персонал, симулиран фишинг минимум 2 пъти годишно, обучение при наемане в първите 30 дни, целево обучение след инцидент (за засегнати служители).

Артефакти за ОЕЦ: учебен план за годината, % покритие на завършилите обучение (минимум 95%), резултати от симулиран фишинг (с trend over time), сертификати за специализирани обучения на ИТ персонала (SANS, OffSec, CompTIA), policy attestation подписи (всеки служител годишно потвърждава, че е прочел политиките).

Минимум: вътрешно записано видео (45-60 минути) + тест в Forms, безплатна симулирана фишинг кампания (GoPhish self-hosted). Одобрена практика: KnowBe4 или Hoxhunt с continuous training, microlearning, role-based content, измерване на behavioral change, не само completion.

Индикативна цена: 0 - 12 000 лв./г. вътрешно или 18 000 - 36 000 лв./г. за KnowBe4 за 100-150 потребители.

1. Имаме ISO 27001 от 2024 г. Покриваме ли 13-те мерки автоматично?

До голяма степен - да. ISO 27001 (особено с приложение А) покрива над 85% от изискванията. Но има четири области, в които ISO 27001 е по-малко строг или липсва: 24/72-часовото докладване към ОЕЦ (ISO не го изисква), българското данъчно-правно изискване за съхранение на 12-месечни логове, лична отговорност на УС, и интеграцията с регулатори (КЗЛД, БНБ). Препоръчваме gap analysis между ISO 27001 SoA и 13-те мерки - обикновено има 10-20 deltas, всички решими в 60-90 дни.

2. Могат ли да ни поискат изходен код или конфигурационни файлове?

При мярка 5 (разработка), да - могат да поискат branch protection rules, CI/CD конфигурация, SAST report. При мярка 7 (крипто) могат да поискат конфигурация на TLS на reverse proxy и BitLocker GPO. Но не могат да поискат самия source code на вашия продукт - това би бил конфликт с търговската тайна. Препоръчваме предварително да подготвите редактирани скриншоти и export-и, които показват настройки без да разкриват чувствителна логика.

3. Колко дълбоко проверяват в мярка 4 (доставчици)? Трябва ли да правим SOC 2 заявка към всеки SaaS?

Не. ОЕЦ очаква проводими доказателства за критичните доставчици - тези с достъп до production данни или с роля в критичен бизнес процес. За некритичните 30-50 доставчика е достатъчен запис в регистър със собствено базово оценяване (без формален въпросник). За top 10-15 критични - очакват попълнен questionnaire (SIG-Lite или вътрешен 30-40 въпроса), договорни клаузи за инцидент-нотификация, и периодичен преглед. SOC 2 / ISO 27001 на доставчика е плюс, но не задължителен.

4. Сме малки (40 души) и сме „важен субект". Реално ли е да правим всичките 13 мерки?

Да, но в пропорционална форма. Принципът на пропорционалност означава, че при 40 души не очакваме 24/7 SOC, отделен CISO на пълно работно време, или платформа за TPRM. Очаква се: писмени политики (можете да ги напишете за 5-7 работни дни с шаблони), MFA enforce, BitLocker, бекъп със седмично тестване, годишно обучение, регистър на активите. Реалистичен годишен бюджет за 40-човешка компания: 18 000 - 32 000 лв./г. за инструменти + 20-25% от времето на един ИТ човек като „compliance owner".

5. Кои са трите мерки, на които почти всички пропадат при първа проверка?

От наш опит на 30+ проверки през последните 18 месеца: мярка 4 (доставчици) - повечето нямат регистър изобщо; мярка 6 (оценка на ефективността) - няма формален вътрешен одит; мярка 10 (управление на активите) - имат разпиляни Excel-и от различни хора, не един актуален регистър. Тези три са „административни" и често се отлагат, защото нямат visible technical работа. Препоръчваме да ги направите рано в 90-дневната пътна карта, не късно.

6. Колко често ОЕЦ ще проверява? Веднъж и сме готови?

За съществени субекти - на 1-2 години плановa проверка плюс при инцидент или сигнал. За важни субекти - на 2-3 години плановa плюс при сигнал. Това означава, че подготовката не е еднократна. Препоръчваме „вътрешна симулация" на проверка веднъж годишно (можете да го направите вътрешно или с външен консултант за 8 000 - 18 000 лв.), за да не зависи готовността от съдбата на следващата планова дата.