Советник

Юридические услуги по корпоративному праву

62 приказ оац

62 приказ оац

Белорусский институт системного анализа и информационного обеспечения научной сферы

Обзор законодательства Республики Беларусь в сфере информатизации за август 2013 года
Адрес документа: http://www.belisa.org.by/ru/news/stnews/policy/rev08_2013.html

03 сентября 2013 г.

При подготовке обзора был проведен анализ нормативных правовых актов включенных в течение месяца в Национальный реестр правовых актов Республики Беларусь (далее — НРПА). Документы представлены в соответствии с разделами НРПА. После реквизитов документа в скобках указывается дата и номер регистрации в НРПА.

С 1 июля 2012 года единственным источником официального опубликования правовых актов является Национальный правовой Интернет-портал Республики Беларусь (www.pravo.by) — основной государственный информационно-правовой интернет-ресурс в области права и правовой информатизации.

Постановления Правительства Республики Беларусь

Постановление Совета Министров Республики Беларусь от 15 августа 2013 г. № 718 «О внесении изменений и дополнения в некоторые постановления Совета Министров Республики Беларусь и признании утратившими силу постановлений Совета Министров Республики Беларусь от 26 мая 2009 г. № 675 и от 1 февраля 2011 г. № 115» (19.08.2013 № 5/37685)

Постановлением, принятым в соответствии с пунктом 5 Указа Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации», внесены изменения и дополнение по уточнению ряда терминов, связанных с вопросами защиты информации, в следующие документы:

  • Положение о Министерстве по налогам и сборам Республики Беларусь, утвержденное постановлением Совета Министров Республики Беларусь от 31 октября 2001 г. № 1592;
  • Правила оптовой торговли, осуществляемой в форме электронной торговли, утвержденные постановлением Совета Министров Республики Беларусь от 19 июля 2007 г. № 924;
  • Положение о порядке государственной регистрации информационных систем, использования государственных информационных систем и ведения Государственного регистра информационных систем, утвержденное постановлением Совета Министров Республики Беларусь от 26 мая 2009 г. № 673;
  • Положение о порядке удостоверения формы внешнего представления электронного документа на бумажном носителе, утвержденное постановлением Совета Министров Республики Беларусь от 20 июля 2010 г. № 1086.

Согласно постановлению с 19 октября 2013 г. утрачивают силу:

  • постановление Совета Министров Республики Беларусь от 26 мая 2009 г. № 675 «О некоторых вопросах защиты информации»;
  • постановление Совета Министров Республики Беларусь от 1 февраля 2011 г. № 115 «Об утверждении Положения об организации технической защиты государственных секретов».

С 19 октября 2013 г. будет действовать приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 30 августа 2013 г. № 62 «О некоторых вопросах технической и криптографической защиты информации», информация о котором приводится ниже.

Нормативные правовые акты государственных органов, непосредственно подчиненных Президенту Республики Беларусь

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 1 августа 2013 г. № 53 «Об утверждении Положения о корневом удостоверяющем центре Государственной системы управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь» (05.08.2013 № 7/2503)

Утвержденное приказом Положение определяет порядок функционирования корневого удостоверяющего центра (далее – КУЦ) Государственной системы управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь (далее – ГосСУОК), включая права, обязанности КУЦ, а также процедуру издания самоподписанного сертификата открытого ключа.

КУЦ создается на базе республиканского унитарного предприятия «Национальный центр электронных услуг», которое осуществляет функции оператора КУЦ ГосСУОК.

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 12 августа 2013 г. № 55 «О предоставлении полномочий» (14.08.2013 № 7/2516)

В соответствии с приказом с 1 сентября 2013 г. по 1 января 2014 г. научно-производственное республиканское унитарное предприятие «Научно-исследовательский институт технической защиты информации» уполномочено на ведение и контроль за базами данных при проведении электронных интерактивных игр, а также на проведение контрольных проверок корректности розыгрышей выигрышного фонда тиражей электронных интерактивных игр.

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 26 августа 2013 г. № 60 «Об утверждении Положения о порядке проведения государственной экспертизы средств технической и криптографической защиты информации» (29.08.2013 № 7/2557)

В соответствии с Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации» приказом утверждено Положение о порядке проведения государственной экспертизы средств технической и криптографической защиты информации.

Положением определяется порядок проведения государственной экспертизы средств технической и криптографической защиты информации, за исключением криптографических средств защиты государственных секретов.

Экспертиза продукции проводится по инициативе заявителя Оперативно-аналитическим центром при Президенте Республики Беларусь (далее – ОАЦ), который является органом государственной экспертизы.

Экспертиза средств криптографической и технической защиты информации проводится на соответствие требованиям по криптографической и технической защите информации, содержащимся в документации изготовителя и (или) определяемым ОАЦ.

Экспертиза продукции включает следующие этапы:

  • подачу заявителем заявки на проведение экспертизы с прилагаемыми документами;
  • анализ ОАЦ заявки и прилагаемых к ней документов и принятие решения по заявке;
  • заключение договора между ОАЦ и заявителем на проведение экспертизы;
  • проведение ОАЦ идентификации продукции и отбора образцов для испытаний;
  • согласование испытательной лабораторией (центром) методики проведения испытаний продукции с ОАЦ;
  • проведение испытательной организацией испытаний образцов продукции;
  • принятие ОАЦ решения о выдаче экспертного заключения;
  • выдачу заявителю экспертного заключения.

Приказ вступает в силу с 19 октября 2013 г.

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 30 августа 2013 г. № 62 «О некоторых вопросах технической и криптографической защиты информации» (30.08.2013 № 7/2561)

Приказом, который вступает в силу с 19 октября 2013 г., утверждены:

  • Положение о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;
  • Положение о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации;
  • Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам.

Обзор подготовил Н.Н.Радиванович,
заместитель директора Национального центра правовой информации Республики Беларусь

Новая редакция положения о порядке аттестации систем защиты информации

Опубликовано Вячеслав Аксёнов Окт 15, 2017

15.10.2017 вступила в силу новая редакция Положения о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам.

Практические вопросы аттестации систем защиты информации в соответствии с требованиями новой редакции Положения, утвержденного Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 11.10.2017 № 64, будут рассмотрены в новой версии моего курса: «Создание автоматизированных систем в защищенном исполнении (САИС)».

Основные изменения в Положении:

В положении введен новый термин «технология обработки защищаемой информации – упорядоченная совокупность возможностей объектов информационной системы, направленная на выполнение системой своих функций».

Изменились условия проведения аттестации. Аттестация проводится в случаях:

Изменился перечень мероприятий по проведению аттестации . В новой редакции «проверку подготовки кадров и распределения ответственности персонала за организацию и обеспечение выполнения требований по защите информации» заменили на «закрепление ответственности персонала за организацию и обеспечение выполнения требований по защите информации».

Также было добавлено следующее мероприятие: «проверка отсутствия либо невозможности использования нарушителем свойств программного обеспечения и (или) технических средств информационной системы (в том числе средств защиты информации), которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы, и сведения о которых подтверждены производителями (разработчиками) этого программного обеспечения и технических средств» . Причем при аттестации информационных систем, имеющих подключение к сетям электросвязи общего пользования (в том числе к глобальной компьютерной сети Интернет), проведение данного мероприятия, осуществляется с использованием средства контроля эффективности защищенности информации, которое должно пройти подтверждение соответствия требованиям с технического регламента ТР 2013/027/BY . По состоянию на 15.10.2517 на рынке РБ присутствуют следующие средства: Rapid7 Nexpose, PCS-1, MaxPatrol, IBM QRadar Vulnerability Manager.

В новой версии Положения допускается выполнение мероприятий по проведению аттестации, на выделенном наборе сегментов информационной системы, реализующих полную технологию обработки защищаемой информации .

В соответствии с новым Положением «аттестат соответствия оформляется сроком на 5 лет» .

Теперь после прохождения аттестации собственники (владельцы) информационных систем должны не позднее 10 календарных дней со дня оформления (получения) аттестата соответствия представить в ОАЦ кроме копии самого аттестата, еще и копию технического отчета и протоколов испытаний .

Изменен перечень исходных данных прилагаемых к заявке на проведение аттестации: Из состава исходных данных исключен «Акт и протокол приемочных испытаний системы защиты информации» .

Изменения в Положении о порядке технической защиты информации (Приказ ОАЦ при Президенте Республики Беларусь от 11.10.2017 № 64).

Опубликовано Вячеслав Аксёнов Окт 14, 2017

  • Положение о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;
  • Положение о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации;
  • Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам.

Практические вопросы проектирования, создания и аттестации систем защиты информации (включая разработку документации на систему защиты и внедрение средств защиты) в соответствии с требованиями Положений, утвержденных Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 11.10.2017 № 64, будут рассмотрены в новой версии моего авторского курса: «Создание автоматизированных систем в защищенном исполнении (САИС)».

Изменения в Положение были ожидаемы для участников IT Security Conference 2017, и были рассмотрены на секции «Системы защиты информации. Сертификация и аттестация» в докладе Сергея Пашковского «Основные направления совершенствования законодательства в области информационной безопасности».

Структура Положения осталась прежней. Основные изменения в Положении представлены ниже.

Глава 1 Общие положения

Термин «политика информационной безопасности» заменен термином: «политика информационной безопасности организации» с соответствующим определением.

Глава 2 Проектирование системы защиты информации

На этапе проектирования системы защиты информации осуществляются:

В соответствии с требованиями нового Положения « Разработка задания по безопасности осуществляется в случае, если информационная система имеет подключение к сетям электросвязи общего пользования (в том числе к глобальной компьютерной сети Интернет) ».

В Приложении 2 к Положению определены требования к организации взаимодействия информационных систем, и теперь « Сведения об организации взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия) » в Частном техническом задании на СЗИ должны определяться с учетом Приложения 2 . При этом взаимодействие информационных систем может осуществляться двумя способами: с использованием физически выделенного канала передачи данных и с использованием подключения к сетям электросвязи общего пользования (в том числе к глобальной компьютерной сети Интернет).

В Положении установлено, что в ОАЦ направляется копия задания по безопасности, только после получения из аккредитованной испытательной лаборатории (центра) протокола оценки задания по безопасности, свидетельствующего о положительных результатах оценки, а также определен срок передачи задания по безопасности не позднее 30 календарных дней со дня получения протокола оценки .

В новом Положении предусмотрена возможность создания единой системы защиты информации взаимодействующих информационных систем, функционирующих в общей программно-технической среде и принадлежащих одному собственнику (владельцу) .

Глава 3 Создание системы защиты информации

На этапе создания системы защиты информации осуществляются:

Политика информационной безопасности организации должна содержать:

В новом Положении расширен перечень требований к содержанию ЛНПА : «Локальные нормативные правовые акты, направленные на реализацию политики информационной безопасности организации, должны содержать:

  • перечень средств вычислительной техники, сетевого оборудования, системного и прикладного программного обеспечения, средств технической защиты информации (далее – объекты информационной системы) и субъектов информационной системы, сведения о месте их размещения и порядке информационного взаимодействия субъектов информационной системы с объектами этой системы и объектов между собой;
  • способы разграничения доступа субъектов к объектам информационной системы;
  • перечень организационных мер, направленных на реализацию требований по созданию системы защиты информации;
  • порядок действий при возникновении угроз обеспечения конфиденциальности, целостности, доступности, подлинности и сохранности информации, в том числе чрезвычайных и непредотвратимых обстоятельств (непреодолимой силы), и при ликвидации их последствий;
  • порядок резервирования и уничтожения информации;
  • порядок защиты от вредоносного программного обеспечения;
  • порядок выявления угроз, которые могут привести к сбоям, нарушению функционирования информационной системы;
  • порядок осуществления контроля (мониторинга) за функционированием информационной системы».

В новом Положении установлено логичное требование « смена реквизитов доступа к функциям управления и настройкам, установленным по умолчанию, либо блокировка учетных записей, не предусматривающих смену указанных реквизитов, в ходе внедрения средств технической защиты информации ».

Глава 3 Особенности эксплуатации информационной системы с применением системы защиты информации

В Положении установлено, что « Собственники (владельцы) информационных систем в произвольной форме информируют ОАЦ о прекращении или нарушении функционирования информационной системы, нарушении конфиденциальности, целостности, подлинности, доступности либо сохранности информации в течение суток с момента выявления этих событий ».

В Положении установлено, что «Модернизация действующих систем защиты информации осуществляется в порядке, установленном настоящим Положением для проектирования и создания этих систем» (в старой версии было «в порядке, установленном настоящим Положением создания этих систем»).

В Приложении 1 к Положению, содержащем Перечень требований к системе защиты информации, подлежащих включению в частное техническое задание или задание по безопасности на информационную систему, произведены:

  1. Систематизация (группировка) требований в следующие подгруппы:
  • Требования по обеспечению аудита безопасности
  • Требования по обеспечению защиты данных
  • Требования по обеспечению идентификации и аутентификации
  • Требования по обеспечению защиты системы защиты информации информационной системы
  • Требования по обеспечению защищенного канала передачи данных
  • Требования по обеспечению защиты информации в виртуальной инфраструктуре
  • Иные требования
  1. Адаптация требований под новую классификацию ИС ;
  2. Корректировка требований и подходов, основанная на анализе практики применения приказа .

ЗЫ: Особенно понравилось мне в новой редакции Положения — исключение необходимости отдельного проведения приемочных испытаний системы защиты информации с разработкой Программы и методики и оформлением протокола и акта. Сейчас эти испытания совмещены с аттестационными, и нет необходимости проводить данную процедуру два раза.

Приложение для безопасной передачи данных в информационных системах от «БелХард». Ответы на вопросы читателей

Недавно на KV.by была опубликована статья «Компания «БелХард» разработала приложение для безопасной передачи данных в информационных системах». Однако у читателей остались вопросы, поэтому Испытательная лаборатория средств и систем защиты информации ЗАО «БелХард Групп» отвечает на некоторые из них.

  1. К вопросу о том, что предъявленные к категории товаров (продукции), являющихся шифровальными (криптографическими) средствами (далее – СКЗИ) или содержащих в своем составе СКЗИ, требования по техническим и криптографическим характеристикам, которые подлежат нотификации при ввозе/вывозе СКЗИ на/с таможенной территории таможенного союза (далее – ТС), имеют низкую криптостойкость.

Согласно законодательству Республики Беларусь при создании Систем защиты информации информационных систем, обрабатывающих информацию, распространение и (или) предоставление которой ограничено, не отнесенную к госсекретам, должны использоваться СКЗИ и средства технической защиты информации (далее – ТСЗИ), имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия, требования к которым установлены приказом ОАЦ № 94 от 17.12.2013 (в редакции от 29.08.2014 № 66) и приказом ОАЦ № 62 от 30.08.2013 (в редакции от 16.01.2015 № 3), включая требования по обеспечению высокой криптостойкости СКЗИ, и не могут использоваться СКЗИ и ТСЗИ, подтверждение соответствия которых требованиям информационной безопасности проводится путем декларирования соответствия.

  1. К вопросу о применении и доверии к криптостойкости VPN туннеля при доступе пользователя к корпоративным ресурсам или Интернет услугам.

Для защиты информации при доступе к корпоративному ресурсу или Интернет услугам могут быть использованы СКЗИ и ТСЗИ, имеющие подтверждение соответствия требованиям информационной безопасности путем декларирование соответствия в случаях:

– если при этом информация (согласно статьям 15, 16 Закона № 455-З «Об информации, информатизации и защите информации») имеет категорию доступа «общедоступная информация»;

– если информация (согласно статьям 15, 18 Закона № 455-З) имеет категорию доступа «информация, распространение и (или) предоставление которой ограничено», то такие СКЗИ или ТСЗИ рассматриваются как дополнительная мера вспомогательная по отношению к основным СКЗИ или ТСЗИ, выполняющих требования законодательства.

Приказ ОАЦ при Президенте РБ 62 30.08.2013 О некоторых вопросах технической и криптографической защиты информации

ПРИКАЗ ОПЕРАТИВНО-АНАЛИТИЧЕСКОГО ЦЕНТРА

ПРИ ПРЕЗИДЕНТЕ РЕСПУБЛИКИ БЕЛАРУСЬ августа 2013 г. № 62 О некоторых вопросах технической и криптографической защиты информации

В соответствии с подпунктом 9.4 пункта 9 Положения о технической и криптографической защите информации в Республике Беларусь, утвержденного Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации», ПРИКАЗЫВАЮ:

1. Утвердить прилагаемые:

Положение о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;

Положение о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации;

Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам.

2. Настоящий приказ вступает в силу с 19 октября 2013 г.

Первый заместитель начальника В.А.Рябоволов

центра при Президенте

Республики Беларусь.08.2013 № 62

ПОЛОЖЕНИЕ о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам

1. В настоящем Положении, разработанном в соответствии с подпунктом 9.4 пункта 9 Положения о технической и криптографической защите информации в Республике Беларусь, утвержденного Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации» (18.04.2013, 1/14225), устанавливается порядок технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам (далее – информационные системы).

2. Для целей настоящего Положения термины и их определения применяются в значениях, установленных Законом Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации» (Национальный реестр правовых актов Республики Беларусь, 2008 г., № 279, 2/1552), Положением о технической и криптографической защите информации в Республике Беларусь и техническими нормативными правовыми актами.

3. Для защиты информации в информационных системах создается система защиты информации, включающая комплекс организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации.

4. При создании систем защиты информации информационных систем применяются средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы (далее, если не определено иное, – сертифицированные или имеющие положительное экспертное заключение средства защиты информации).

5. Не допускается подключение информационных систем к информационным сетям, в том числе к глобальной компьютерной сети Интернет, без принятия мер по технической и (или) криптографической защите информации, предусмотренных настоящим Положением и иным законодательством в области технической и криптографической защиты информации.

6. Создание и эксплуатация системы защиты информации информационной системы осуществляются подразделением технической защиты информации или иным подразделением (должностным лицом), выполняющим функции по технической и (или) криптографической защите информации у собственника (владельца) информационной системы (далее – подразделение технической защиты информации).

В случае невозможности выполнения работ по созданию систем защиты информации информационных систем силами подразделения технической защиты информации собственниками (владельцами) информационных систем могут привлекаться организации, имеющие специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ и услуг (далее – специализированные организации).

7. Комплекс мероприятий по созданию системы защиты информации информационной системы включает:

классификацию хранящихся и обрабатываемых в информационной системе сведений и разделение информации по категориям доступа;

анализ организационной структуры информационной системы, порядка организации вычислительных процессов и условий ее функционирования;

присвоение информационной системе класса типового объекта информатизации в соответствии с требованиями законодательства об информации, информатизации и защите информации;

разработку или корректировку политики информационной безопасности;

разработку или корректировку задания по безопасности на информационную систему в соответствии с требованиями законодательства об информации, информатизации и защите информации, в том числе технических нормативных правовых актов;

реализацию требований задания по безопасности на информационную систему.

Создание системы защиты информации информационной системы осуществляется до ввода информационной системы в эксплуатацию.

8. Политика информационной безопасности, представляющая собой совокупность действующих у собственника (владельца) информационной системы документированных правил, процедур и требований в области защиты информации, должна содержать:

цели построения системы защиты информации информационной системы;

перечень защищаемых сведений;

определение ответственности субъектов информационных отношений за обеспечение защиты информации;

определение прав и порядка доступа к защищаемой информации (субъектам информационных отношений предоставляется объективно необходимый для них уровень доступа к защищаемым сведениям);

порядок работы с электронной почтой и другими системами обмена и передачи сообщений;

порядок применения средств технической и (или) криптографической защиты информации;

организационные мероприятия по разграничению доступа к средствам технической защиты и обработки информации;

порядок действий при возникновении угроз обеспечению целостности и конфиденциальности информационных ресурсов, в том числе чрезвычайных и непредотвратимых обстоятельств (непреодолимой силы), и при ликвидации их последствий;

инструкции для субъектов информационных отношений, регламентирующие порядок доступа к ресурсам информационной системы, установления подлинности субъектов, аудита безопасности, резервирования и уничтожения информации, контроля целостности защищаемых сведений, защиты от вредоносного программного обеспечения и вторжений.

9. Собственник (владелец) информационной системы организует разработку задания по безопасности на информационную систему, утверждает его и проводит оценку этого задания в организации, аккредитованной для проведения испытаний систем защиты информации информационных систем.

Задание по безопасности на информационную систему разрабатывается в соответствии с требованиями законодательства об информации, информатизации и защите информации, в том числе технических нормативных правовых актов, и учитывается в Оперативно- аналитическом центре при Президенте Республики Беларусь.

10. Ремонтные, наладочные и профилактические работы в информационных системах проводятся с участием представителя подразделения технической защиты информации.

В случае необходимости передачи технических средств для проведения ремонта из этих технических средств должны быть изъяты все носители информации, содержащие информацию, распространение и (или) предоставление которой ограничено, либо должно быть произведено гарантированное уничтожение информации с использованием сертифицированных средств.

11. Для организации защиты информации нескольких взаимодействующих между собой информационных систем, функционирующих в общей программно-технической среде, может создаваться единая система защиты информации взаимодействующих информационных систем.

12. При внесении изменений, затрагивающих условия и технологию обработки защищаемой информации, собственником (владельцем) информационной системы проводятся мероприятия по доработке системы защиты информации информационной системы.

13. Текущий контроль за соблюдением требований по защите информации у собственника (владельца) информационной системы осуществляется подразделением технической защиты информации.

14. Нарушения требований по защите информации, предусмотренных заданием по безопасности на информационную систему и (или) политикой информационной безопасности, устанавливаются и фиксируются собственником (владельцем) информационной системы, который принимает меры по своевременному устранению выявленных нарушений.

О фактах нарушения требований по защите информации собственник (владелец) информационной системы в течение пяти рабочих дней с момента выявления этих нарушений письменно информирует Оперативно-аналитический центр при Президенте Республики Беларусь.

15. Запрещается обработка информации, распространение и (или) предоставление которой ограничено, в случае выявления нарушений требований по защите информации.

центра при Президенте

Республики Беларусь.08.2013 № 62

ПОЛОЖЕНИЕ о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации

1. В настоящем Положении, разработанном в соответствии с подпунктом 9.4 пункта 9 Положения о технической и криптографической защите информации в Республике Беларусь, утвержденного Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации» (18.04.2013, 1/14225), пунктом 6 Положения об отнесении объектов информатизации к критически важным и обеспечении безопасности критически важных объектов информатизации, утвержденного Указом Президента Республики Беларусь от 25 октября 2011 г. № 486 «О некоторых мерах по обеспечению безопасности критически важных объектов информатизации» (Национальный реестр правовых актов Республики Беларусь, 2011 г., № 121, 1/13026), и пунктом 3 Указа Президента Республики Беларусь от 8 ноября 2011 г. № 515 «О некоторых вопросах развития информационного общества в Республике Беларусь» (Национальный реестр правовых актов Республики Беларусь, 2011 г., № 125, 1/13064), устанавливается порядок криптографической защиты информации (далее – КЗИ):

в государственных информационных системах (далее – ГИС) в части обеспечения целостности и подлинности электронных документов;

в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам (далее – информационные системы);

на критически важных объектах информатизации (далее – КВОИ).

2. Для целей настоящего Положения термины и их определения применяются в значениях, установленных Законом Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации» (Национальный реестр правовых актов Республики Беларусь, 2008 г., № 279, 2/1552), Положением о технической и криптографической защите информации в Республике Беларусь, Положением об отнесении объектов информатизации к критически важным и обеспечении безопасности критически важных объектов информатизации и техническими нормативными правовыми актами.

3. Решение об организации КЗИ принимается:

собственником (владельцем) информационных систем – при реализации комплекса мероприятий по созданию системы защиты информации на этапе разработки или корректировки политики информационной безопасности и задания по безопасности на данную систему;

собственником (владельцем) ГИС – при использовании в этих системах электронных документов;

владельцем КВОИ – при реализации комплекса мероприятий по созданию системы безопасности этих объектов.

К указанным работам собственники (владельцы) информационных систем могут привлекать организации, имеющие специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части составляющих данный вид деятельности работ по разработке средств КЗИ (далее – СКЗИ).

4. Системы защиты информации информационных систем, системы безопасности КВОИ и системы электронных документов ГИС должны включать в себя СКЗИ, реализующие криптографические операции в зависимости от задач безопасности, управление криптографическими ключами данных СКЗИ, а также комплекс средств обеспечения безопасности СКЗИ.

5. СКЗИ должны выполнять криптографические операции в соответствии с заданными криптографическими алгоритмами и криптографическими ключами, которые соответствуют техническим нормативным правовым актам и документам согласно приложению к настоящему Положению (далее – приложение), а при их отсутствии должны быть рекомендованы Оперативно-аналитическим центром при Президенте Республики Беларусь (далее – ОАЦ).

6. Для каждой криптографической операции, реализованной в СКЗИ, собственником (владельцем) информационной системы определяются требования по управлению криптографическими ключами, включающие требования по их генерации, распределению, хранению, доступу к ним и их уничтожению. Средства управления криптографическими ключами должны реализовывать алгоритмы генерации криптографических ключей, методы распределения, доступа, хранения и уничтожения криптографических ключей в соответствии с техническими нормативными правовыми актами и документами согласно приложению, а при их отсутствии должны быть рекомендованы ОАЦ. На всех этапах жизненного цикла криптографических ключей должна быть обеспечена их защита от несанкционированного доступа.

Порядок управления криптографическими ключами СКЗИ определяется в задании по безопасности на информационную систему, в документах по системе безопасности КВОИ и системе электронных документов ГИС.

7. Комплекс средств обеспечения безопасности СКЗИ должен обеспечивать:

защиту СКЗИ от несанкционированного воздействия или несанкционированного использования;

предотвращение несанкционированного раскрытия критических объектов СКЗИ;

предотвращение несанкционированной модификации СКЗИ, включая несанкционированные изменение, замену, добавление и уничтожение криптографических ключей, а также других критических объектов;

выявление ошибок в работе и нарушений целостности СКЗИ, предотвращение компрометации критических объектов в результате этих ошибок.

Требования к средствам обеспечения безопасности СКЗИ должны основываться на технических нормативных правовых актах и документах согласно приложению, а при их отсутствии должны быть рекомендованы ОАЦ.

8. Организационные меры, которые необходимо соблюдать при эксплуатации СКЗИ, должны включать в себя меры по обеспечению особого режима допуска на территорию (в помещения), на которой может быть осуществлен доступ к СКЗИ и криптографическим ключам (носителям), а также меры по разграничению доступа к ним по кругу лиц. Данные организационные меры должны быть отражены в политике информационной безопасности.

9. СКЗИ, используемые в информационных системах, системах безопасности КВОИ и системах электронных документов ГИС, подлежат сертификации в Национальной системе подтверждения соответствия Республики Беларусь на соответствие требованиям технических нормативных правовых актов согласно приложению или государственной экспертизе на соответствие требованиям безопасности информации, содержащимся в документах согласно приложению.

Программные СКЗИ и программное обеспечение аппаратных СКЗИ должны соответствовать требованиям, установленным СТБ 34.101.27-2011 «Информационные технологии и безопасность. Требования безопасности к программным средствам криптографической защиты информации», а программно-аппаратные и технические СКЗИ – требованиям, установленным СТБ П 34.101.43-2009 «Информационные технологии. Методы и средства безопасности. Профиль защиты технических и программно-аппаратных средств криптографической защиты информации».

Для совместимости СКЗИ данные обмена между ними должны иметь одни и те же форматы.

Различия могут иметь место:

при управлении криптографическими ключами СКЗИ одного класса, если не предполагается использование ключей одного СКЗИ на другом СКЗИ;

во внутренних служебных механизмах безопасности СКЗИ. При этом механизмы управления криптографическими ключами и служебные механизмы должны соответствовать требованиям технических нормативных правовых актов и документов согласно таблице 1 приложения.

10. При принятии собственником (владельцем) информационной системы решения о применении СКЗИ для защиты служебной информации ограниченного распространения, определенной в соответствии с законодательством, должно обеспечиваться выполнение следующих организационных и технических мер:

криптографическая защита служебной информации ограниченного распространения должна осуществляться на отдельно выделенном средстве вычислительной техники, не подключенном к информационным сетям, в том числе к глобальной компьютерной сети Интернет. В случае, когда такое подключение требуется для обеспечения технологических процессов функционирования информационных систем, оно должно осуществляться с применением средств защиты информации, имеющих сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, обеспечивающих исключение возможности несанкционированного доступа к служебной информации ограниченного распространения и к самой информационной системе;

использование в средствах криптографической защиты служебной информации ограниченного распространения криптографических алгоритмов, их долговременных параметров (в том числе длин ключей), рекомендованных ОАЦ;

применение в средствах криптографической защиты служебной информации ограниченного распространения технологических (конструктивных) решений, исключающих появление личных (долговременных секретных) криптографических ключей в открытом виде вне криптографической границы указанных средств;

управление криптографическими ключами средств криптографической защиты служебной информации ограниченного распространения должно быть организовано так, чтобы при компрометации ключей одного из пользователей не снижалась безопасность сети иных пользователей;

исключение физического доступа неуполномоченных лиц к средству вычислительной техники и средствам криптографической защиты служебной информации ограниченного распространения;

использование лицензионного антивирусного программного обеспечения и его периодическое обновление;

использование программно-аппаратных или технических СКЗИ, удовлетворяющих требованиям технических нормативных правовых актов или документов согласно приложению, для обеспечения защищенного канала передачи служебной информации ограниченного распространения между несколькими контролируемыми зонами информационной системы.

Это интересно:

  • Приказ 110 назначение лекарственных Приказ Министерства здравоохранения и социального развития РФ от 12 февраля 2007 г. N 110 "О порядке назначения и выписывания лекарственных препаратов, изделий медицинского назначения и специализированных продуктов лечебного питания" (с изменениями и дополнениями) Информация об […]
  • Пособия на ребенка в 2013 г Единовременное пособие при рождении ребенка Право на единовременное пособие при рождении ребенка имеет один из родителей или лицо, его заменяющее. При рождении двух и более детей пособие выплачивается на каждого ребенка. Размер пособия с 1 февраля 2017 года – 16 350,33 руб.(ст. 12 закона […]
  • Приказы при онкологии Об утверждении порядка оказания медицинской помощи взрослому населению по профилю Онкология. Приказ МЗ РФ от 15 ноября 2012 г. N 915н Зарегистрировано в Минюсте России 17 апреля 2013 г. N 28163. В соответствии со статьей 37 Федерального закона от 21 ноября 2011 г. N 323-ФЗ "Об основах […]
  • Приказ 922н ПРИКАЗ Минздрава РФ от 15.11.2012 N 922н "ОБ УТВЕРЖДЕНИИ ПОРЯДКА ОКАЗАНИЯ МЕДИЦИНСКОЙ ПОМОЩИ ВЗРОСЛОМУ НАСЕЛЕНИЮ ПО ПРОФИЛЮ "ХИРУРГИЯ" Данный документ вступает в силу по истечении 10 дней после дня его официального опубликования (п. 12 Указа Президента РФ от 23.05.96 N […]
  • Приказ по профилю неврология Приказ Министерства здравоохранения РФ от 15 ноября 2012 г. № 926н "Об утверждении Порядка оказания медицинской помощи взрослому населению при заболеваниях нервной системы" (не вступил в силу) В соответствии со статьей 37 Федерального закона от 21 ноября 2011 г. № 323-ФЗ "Об основах […]
  • Приказ 697 минздрава Приказ Министерства здравоохранения РФ от 9 ноября 2012 г. № 697н “Об утверждении стандарта первичной медико-санитарной помощи при гиперплазии предстательной железы” (не вступил в силу) О стандартах медицинской помощи больным см. справку В соответствии со статьей 37 Федерального закона […]
  • Приказ по ношению формы полиции Приказ МВД России от 26 июля 2013 г. N 575 "Об утверждении Правил ношения сотрудниками органов внутренних дел Российской Федерации форменной одежды, знаков различия и ведомственных знаков отличия" (с изменениями и дополнениями) Приказ МВД России от 26 июля 2013 г. N 575"Об утверждении […]
  • Приказ 62 от 21022012 Приказ Федеральной таможенной службы от 17.01.2014 № 62 «Порядок информирования таможенного органа о мерах, принятых по результатам проведенной таможенной экспертизы» В целях реализации положений пункта 26 Порядка проведения таможенной экспертизы при проведении таможенного контроля, […]
Все права защищены. 2018