Ваш гид в законодательстве Республики Беларусь


Печать

Приказ ОАЦ при Президенте РБ 62 30.08.2013 О некоторых вопросах технической и криптографической защиты информации



ПРИКАЗ ОПЕРАТИВНО-АНАЛИТИЧЕСКОГО ЦЕНТРА

ПРИ ПРЕЗИДЕНТЕ РЕСПУБЛИКИ БЕЛАРУСЬ августа 2013 г. № 62 О некоторых вопросах технической и криптографической защиты информации

В соответствии с подпунктом 9.4 пункта 9 Положения о технической и криптографической защите информации в Республике Беларусь, утвержденного Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации», ПРИКАЗЫВАЮ:

1. Утвердить прилагаемые:

Положение о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;

Положение о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации;

Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам.

2. Настоящий приказ вступает в силу с 19 октября 2013 г.

Первый заместитель начальника В.А.Рябоволов

УТВЕРЖДЕНО

Приказ

Оперативно-аналитического

центра при Президенте

Республики Беларусь.08.2013 № 62

ПОЛОЖЕНИЕ о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам



1. В настоящем Положении, разработанном в соответствии с подпунктом 9.4 пункта 9 Положения о технической и криптографической защите информации в Республике Беларусь, утвержденного Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации» (18.04.2013, 1/14225), устанавливается порядок технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам (далее – информационные системы).

2. Для целей настоящего Положения термины и их определения применяются в значениях, установленных Законом Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации» (Национальный реестр правовых актов Республики Беларусь, 2008 г., № 279, 2/1552), Положением о технической и криптографической защите информации в Республике Беларусь и техническими нормативными правовыми актами.

3. Для защиты информации в информационных системах создается система защиты информации, включающая комплекс организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации.

4. При создании систем защиты информации информационных систем применяются средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы (далее, если не определено иное, – сертифицированные или имеющие положительное экспертное заключение средства защиты информации).

5. Не допускается подключение информационных систем к информационным сетям, в том числе к глобальной компьютерной сети Интернет, без принятия мер по технической и (или) криптографической защите информации, предусмотренных настоящим Положением и иным законодательством в области технической и криптографической защиты информации.

6. Создание и эксплуатация системы защиты информации информационной системы осуществляются подразделением технической защиты информации или иным подразделением (должностным лицом), выполняющим функции по технической и (или) криптографической защите информации у собственника (владельца) информационной системы (далее – подразделение технической защиты информации).

В случае невозможности выполнения работ по созданию систем защиты информации информационных систем силами подразделения технической защиты информации собственниками (владельцами) информационных систем могут привлекаться организации, имеющие специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ и услуг (далее – специализированные организации).

7. Комплекс мероприятий по созданию системы защиты информации информационной системы включает:

классификацию хранящихся и обрабатываемых в информационной системе сведений и разделение информации по категориям доступа;

анализ организационной структуры информационной системы, порядка организации вычислительных процессов и условий ее функционирования;

присвоение информационной системе класса типового объекта информатизации в соответствии с требованиями законодательства об информации, информатизации и защите информации;

разработку или корректировку политики информационной безопасности;

разработку или корректировку задания по безопасности на информационную систему в соответствии с требованиями законодательства об информации, информатизации и защите информации, в том числе технических нормативных правовых актов;

реализацию требований задания по безопасности на информационную систему.

Создание системы защиты информации информационной системы осуществляется до ввода информационной системы в эксплуатацию.

8. Политика информационной безопасности, представляющая собой совокупность действующих у собственника (владельца) информационной системы документированных правил, процедур и требований в области защиты информации, должна содержать:

цели построения системы защиты информации информационной системы;

перечень защищаемых сведений;

определение ответственности субъектов информационных отношений за обеспечение защиты информации;

определение прав и порядка доступа к защищаемой информации (субъектам информационных отношений предоставляется объективно необходимый для них уровень доступа к защищаемым сведениям);

порядок работы с электронной почтой и другими системами обмена и передачи сообщений;

порядок применения средств технической и (или) криптографической защиты информации;

организационные мероприятия по разграничению доступа к средствам технической защиты и обработки информации;

порядок действий при возникновении угроз обеспечению целостности и конфиденциальности информационных ресурсов, в том числе чрезвычайных и непредотвратимых обстоятельств (непреодолимой силы), и при ликвидации их последствий;

инструкции для субъектов информационных отношений, регламентирующие порядок доступа к ресурсам информационной системы, установления подлинности субъектов, аудита безопасности, резервирования и уничтожения информации, контроля целостности защищаемых сведений, защиты от вредоносного программного обеспечения и вторжений.

9. Собственник (владелец) информационной системы организует разработку задания по безопасности на информационную систему, утверждает его и проводит оценку этого задания в организации, аккредитованной для проведения испытаний систем защиты информации информационных систем.

Задание по безопасности на информационную систему разрабатывается в соответствии с требованиями законодательства об информации, информатизации и защите информации, в том числе технических нормативных правовых актов, и учитывается в Оперативно- аналитическом центре при Президенте Республики Беларусь.

10. Ремонтные, наладочные и профилактические работы в информационных системах проводятся с участием представителя подразделения технической защиты информации.

В случае необходимости передачи технических средств для проведения ремонта из этих технических средств должны быть изъяты все носители информации, содержащие информацию, распространение и (или) предоставление которой ограничено, либо должно быть произведено гарантированное уничтожение информации с использованием сертифицированных средств.

11. Для организации защиты информации нескольких взаимодействующих между собой информационных систем, функционирующих в общей программно-технической среде, может создаваться единая система защиты информации взаимодействующих информационных систем.

12. При внесении изменений, затрагивающих условия и технологию обработки защищаемой информации, собственником (владельцем) информационной системы проводятся мероприятия по доработке системы защиты информации информационной системы.

13. Текущий контроль за соблюдением требований по защите информации у собственника (владельца) информационной системы осуществляется подразделением технической защиты информации.

14. Нарушения требований по защите информации, предусмотренных заданием по безопасности на информационную систему и (или) политикой информационной безопасности, устанавливаются и фиксируются собственником (владельцем) информационной системы, который принимает меры по своевременному устранению выявленных нарушений.

О фактах нарушения требований по защите информации собственник (владелец) информационной системы в течение пяти рабочих дней с момента выявления этих нарушений письменно информирует Оперативно-аналитический центр при Президенте Республики Беларусь.

15. Запрещается обработка информации, распространение и (или) предоставление которой ограничено, в случае выявления нарушений требований по защите информации.

УТВЕРЖДЕНО

Приказ

Оперативно-аналитического

центра при Президенте

Республики Беларусь.08.2013 № 62

ПОЛОЖЕНИЕ о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации



1. В настоящем Положении, разработанном в соответствии с подпунктом 9.4 пункта 9 Положения о технической и криптографической защите информации в Республике Беларусь, утвержденного Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации» (18.04.2013, 1/14225), пунктом 6 Положения об отнесении объектов информатизации к критически важным и обеспечении безопасности критически важных объектов информатизации, утвержденного Указом Президента Республики Беларусь от 25 октября 2011 г. № 486 «О некоторых мерах по обеспечению безопасности критически важных объектов информатизации» (Национальный реестр правовых актов Республики Беларусь, 2011 г., № 121, 1/13026), и пунктом 3 Указа Президента Республики Беларусь от 8 ноября 2011 г. № 515 «О некоторых вопросах развития информационного общества в Республике Беларусь» (Национальный реестр правовых актов Республики Беларусь, 2011 г., № 125, 1/13064), устанавливается порядок криптографической защиты информации (далее – КЗИ):

в государственных информационных системах (далее – ГИС) в части обеспечения целостности и подлинности электронных документов;

в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам (далее – информационные системы);

на критически важных объектах информатизации (далее – КВОИ).

2. Для целей настоящего Положения термины и их определения применяются в значениях, установленных Законом Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации» (Национальный реестр правовых актов Республики Беларусь, 2008 г., № 279, 2/1552), Положением о технической и криптографической защите информации в Республике Беларусь, Положением об отнесении объектов информатизации к критически важным и обеспечении безопасности критически важных объектов информатизации и техническими нормативными правовыми актами.

3. Решение об организации КЗИ принимается:

собственником (владельцем) информационных систем – при реализации комплекса мероприятий по созданию системы защиты информации на этапе разработки или корректировки политики информационной безопасности и задания по безопасности на данную систему;

собственником (владельцем) ГИС – при использовании в этих системах электронных документов;

владельцем КВОИ – при реализации комплекса мероприятий по созданию системы безопасности этих объектов.

К указанным работам собственники (владельцы) информационных систем могут привлекать организации, имеющие специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части составляющих данный вид деятельности работ по разработке средств КЗИ (далее – СКЗИ).

4. Системы защиты информации информационных систем, системы безопасности КВОИ и системы электронных документов ГИС должны включать в себя СКЗИ, реализующие криптографические операции в зависимости от задач безопасности, управление криптографическими ключами данных СКЗИ, а также комплекс средств обеспечения безопасности СКЗИ.

5. СКЗИ должны выполнять криптографические операции в соответствии с заданными криптографическими алгоритмами и криптографическими ключами, которые соответствуют техническим нормативным правовым актам и документам согласно приложению к настоящему Положению (далее – приложение), а при их отсутствии должны быть рекомендованы Оперативно-аналитическим центром при Президенте Республики Беларусь (далее – ОАЦ).

6. Для каждой криптографической операции, реализованной в СКЗИ, собственником (владельцем) информационной системы определяются требования по управлению криптографическими ключами, включающие требования по их генерации, распределению, хранению, доступу к ним и их уничтожению. Средства управления криптографическими ключами должны реализовывать алгоритмы генерации криптографических ключей, методы распределения, доступа, хранения и уничтожения криптографических ключей в соответствии с техническими нормативными правовыми актами и документами согласно приложению, а при их отсутствии должны быть рекомендованы ОАЦ. На всех этапах жизненного цикла криптографических ключей должна быть обеспечена их защита от несанкционированного доступа.

Порядок управления криптографическими ключами СКЗИ определяется в задании по безопасности на информационную систему, в документах по системе безопасности КВОИ и системе электронных документов ГИС.

7. Комплекс средств обеспечения безопасности СКЗИ должен обеспечивать:

защиту СКЗИ от несанкционированного воздействия или несанкционированного использования;

предотвращение несанкционированного раскрытия критических объектов СКЗИ;

предотвращение несанкционированной модификации СКЗИ, включая несанкционированные изменение, замену, добавление и уничтожение криптографических ключей, а также других критических объектов;

выявление ошибок в работе и нарушений целостности СКЗИ, предотвращение компрометации критических объектов в результате этих ошибок.

Требования к средствам обеспечения безопасности СКЗИ должны основываться на технических нормативных правовых актах и документах согласно приложению, а при их отсутствии должны быть рекомендованы ОАЦ.

8. Организационные меры, которые необходимо соблюдать при эксплуатации СКЗИ, должны включать в себя меры по обеспечению особого режима допуска на территорию (в помещения), на которой может быть осуществлен доступ к СКЗИ и криптографическим ключам (носителям), а также меры по разграничению доступа к ним по кругу лиц. Данные организационные меры должны быть отражены в политике информационной безопасности.

9. СКЗИ, используемые в информационных системах, системах безопасности КВОИ и системах электронных документов ГИС, подлежат сертификации в Национальной системе подтверждения соответствия Республики Беларусь на соответствие требованиям технических нормативных правовых актов согласно приложению или государственной экспертизе на соответствие требованиям безопасности информации, содержащимся в документах согласно приложению.

Программные СКЗИ и программное обеспечение аппаратных СКЗИ должны соответствовать требованиям, установленным СТБ 34.101.27-2011 «Информационные технологии и безопасность. Требования безопасности к программным средствам криптографической защиты информации», а программно-аппаратные и технические СКЗИ – требованиям, установленным СТБ П 34.101.43-2009 «Информационные технологии. Методы и средства безопасности. Профиль защиты технических и программно-аппаратных средств криптографической защиты информации».

Для совместимости СКЗИ данные обмена между ними должны иметь одни и те же форматы.

Различия могут иметь место:

при управлении криптографическими ключами СКЗИ одного класса, если не предполагается использование ключей одного СКЗИ на другом СКЗИ;

во внутренних служебных механизмах безопасности СКЗИ. При этом механизмы управления криптографическими ключами и служебные механизмы должны соответствовать требованиям технических нормативных правовых актов и документов согласно таблице 1 приложения.

10. При принятии собственником (владельцем) информационной системы решения о применении СКЗИ для защиты служебной информации ограниченного распространения, определенной в соответствии с законодательством, должно обеспечиваться выполнение следующих организационных и технических мер:

криптографическая защита служебной информации ограниченного распространения должна осуществляться на отдельно выделенном средстве вычислительной техники, не подключенном к информационным сетям, в том числе к глобальной компьютерной сети Интернет. В случае, когда такое подключение требуется для обеспечения технологических процессов функционирования информационных систем, оно должно осуществляться с применением средств защиты информации, имеющих сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, обеспечивающих исключение возможности несанкционированного доступа к служебной информации ограниченного распространения и к самой информационной системе;

использование в средствах криптографической защиты служебной информации ограниченного распространения криптографических алгоритмов, их долговременных параметров (в том числе длин ключей), рекомендованных ОАЦ;

применение в средствах криптографической защиты служебной информации ограниченного распространения технологических (конструктивных) решений, исключающих появление личных (долговременных секретных) криптографических ключей в открытом виде вне криптографической границы указанных средств;

управление криптографическими ключами средств криптографической защиты служебной информации ограниченного распространения должно быть организовано так, чтобы при компрометации ключей одного из пользователей не снижалась безопасность сети иных пользователей;

исключение физического доступа неуполномоченных лиц к средству вычислительной техники и средствам криптографической защиты служебной информации ограниченного распространения;

использование лицензионного антивирусного программного обеспечения и его периодическое обновление;

использование программно-аппаратных или технических СКЗИ, удовлетворяющих требованиям технических нормативных правовых актов или документов согласно приложению, для обеспечения защищенного канала передачи служебной информации ограниченного распространения между несколькими контролируемыми зонами информационной системы.




Другие НПА

Постановление ГК по имуществу РБ №20 от 30.05.2013 О внесении изменений и дополнений в постановление Государственного комитета по имуществу Республики Беларусь от 5 апреля 2007 г. № 20 Постановление СМ РБ №796 от 06.09.2013 О распоряжении имуществом Постановление СМ РБ №793 от 06.09.2013 Аб зацвярджэнні Пагаднення паміж Урадам Рэспублікі Беларусь і Кабінетам Міністраў Украіны аб міжрэгіянальным і прыгранічным супрацоўніцтве паміж Рэспублікай Беларусь і Украінай Постановление СМ РБ №790 от 06.09.2013 Об осуществлении государственных закупок с применением процедуры закупки из одного источника Постановление ГК по имуществу РБ №36 от 29.07.2013 О внесении изменений и дополнений в постановления Государственного комитета по имуществу Республики Беларусь от 23 апреля 2008 г. № 29 и от 18 января 2013 г. № 5 Постановление МК РБ №50 от 09.08.2013 Аб унясенні змяненняў і дапаўненняў у пастанову Міністэрства культуры Рэспублікі Беларусь ад 5 мая 2007 г. № 17 Постановление Минфин РБ №57 от 20.08.2013 Об установлении образца и стоимости бланка счета-справки и признании утратившими силу некоторых постановлений Министерства финансов Республики Беларусь и их отдельных структурных элементов Постановление Минфин РБ №59 от 28.08.2013 О внесении изменений в постановление Министерства финансов Республики Беларусь от 14 декабря 2005 г. № 150 Постановление Минтруда РБ №87 от 23.08.2013 О признании утратившими силу некоторых постановлений Министерства труда и социальной защиты Республики Беларусь и их отдельных структурных элементов Постановление Мин СХ РБ №41/89 от 28.08.2013 О внесении изменений и дополнений в постановление Министерства сельского хозяйства и продовольствия Республики Беларусь и Министерства труда и социальной защиты Республики Беларусь от 1 июня 2010 г. № 38/73