ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
В настоящем Положении в соответствии с абзацем вторым подпункта 6.4 пункта 6 Положения о технической и криптографической защите информации, утвержденного Указом Президента Республики Беларусь
от 16 апреля 2013 г. № 196, определяется порядок технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам.
Для целей настоящего Положения применяются термины в значениях, определенных в Положении о технической и криптографической защите информации, Законе Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации», а также следующие термины и их определения:
политика информационной безопасности организации – общие намерения по обеспечению конфиденциальности, целостности, подлинности, доступности и сохранности информации, документально закрепленные собственником (владельцем) информационной системы;
компрометация криптографического ключа – событие, в результате которого криптографический ключ или его часть становятся известными лицам, не имеющим прав доступа к данному ключу.
Комплекс мероприятий по технической и криптографической защите информации, подлежащей обработке (сбору, накоплению, вводу, выводу, приему, передаче, записи, хранению, регистрации, уничтожению, преобразованию, отображению) в информационной системе, включает:
проектирование системы защиты информации;
создание системы защиты информации;
аттестацию системы защиты информации в соответствии с Положением о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утвержденным приказом, утверждающим настоящее Положение;
обеспечение функционирования системы защиты информации в процессе эксплуатации информационной системы;
обеспечение защиты информации в случае прекращения эксплуатации информационной системы.
Работы по технической и криптографической защите информации у собственника (владельца) информационной системы могут выполняться:
подразделением защиты информации или иным подразделением (должностным лицом), ответственным за обеспечение защиты информации. Работники такого подразделения (должностное лицо) должны иметь высшее образование в области защиты информации либо высшее или профессионально-техническое образование и пройти переподготовку или повышение квалификации по вопросам технической и криптографической защиты информации в порядке, установленном законодательством;
организациями, имеющими специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ (далее – специализированные организации).
При выполнении специализированными организациями работ по проектированию и созданию систем защиты информации с использованием открытых каналов передачи данных (сетей электросвязи общего пользования) должны применяться средства криптографической защиты информации, обеспечивающие линейное шифрование передаваемой информации.
Перечень работ по проектированию и созданию системы защиты информации может предусматриваться в техническом задании на создание информационной системы.
До проведения работ по проектированию системы защиты информации собственник (владелец) информационной системы осуществляет категорирование информации, которая будет обрабатываться в информационной системе, в соответствии с законодательством об информации, информатизации и защите информации, а также отнесение информационной системы к классу типовых информационных систем согласно приложению 1.
Отнесение информационной системы к классу типовых ИС оформляется актом по форме согласно приложению 2.
ГЛАВА 2
ПРОЕКТИРОВАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
На этапе проектирования системы защиты информации осуществляются:
анализ структуры информационной системы и информационных потоков (внутренних и внешних) в целях определения состава (количества) и мест размещения элементов информационной системы (аппаратных и программных), ее физических и логических границ;
разработка (корректировка) политики информационной безопасности организации;
определение требований к системе защиты информации в техническом задании на создание системы защиты информации (далее – техническое задание);
выбор средств технической и криптографической защиты информации;
разработка (корректировка) общей схемы системы защиты информации.
Политика информационной безопасности организации должна содержать:
цели и принципы защиты информации в организации;
перечень информационных систем, отнесенных к соответствующим классам типовых информационных систем, а также отдельно стоящих электронных вычислительных машин, используемых в организации и принадлежащих ей на праве собственности или ином законном основании, с указанием подразделения защиты информации или иного подразделения (должностного лица), ответственного за обеспечение защиты информации;
обязанности пользователей информационной системы;
порядок взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия), в том числе при осуществлении информационных отношений на правах операторов, посредников, пользователей информационных систем и обладателей информации.
Техническое задание разрабатывается собственником (владельцем)
информационной системы либо специализированной организацией и утверждается собственником (владельцем) информационной системы.
Техническое задание должно содержать:
наименование информационной системы с указанием присвоенного ей класса типовых информационных систем;
требования к системе защиты информации в зависимости от используемых технологий и класса типовых информационных систем на основе перечня согласно приложению 3;
сведения об организации взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия) с учетом требований согласно приложению 4;
требования к средствам криптографической защиты информации, включая требования к криптографическим алгоритмам в зависимости от задач безопасности (шифрование, выработка и проверка электронной цифровой подписи, хэширование, имитозащита), криптографическим протоколам, управлению криптографическими ключами (генерация, распределение, хранение, доступ, уничтожение), а также к функциональным возможностям безопасности и форматам данных. Профили требований, предъявляемых к средствам криптографической защиты информации, определяются Оперативно-аналитическим центром при Президенте Республики Беларусь (далее – ОАЦ);
перечень документации на систему защиты информации.
Собственник (владелец) информационной системы вправе не включать в техническое задание отдельные обязательные требования к системе защиты информации при отсутствии в информационной системе соответствующего объекта (технологии) либо при условии согласования с ОАЦ закрепления в таком техническом задании обоснованных компенсирующих мер.
Общая схема системы защиты информации должна содержать:
наименование информационной системы;
класс типовых информационных систем;
места размещения средств вычислительной техники, сетевого оборудования, системного и прикладного программного обеспечения, средств технической и криптографической защиты информации (далее – объекты информационной системы);
физические границы информационной системы;
внешние и внутренние информационные потоки и протоколы обмена защищаемой информацией.
В случае документирования создания информационных систем в соответствии с ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» сведения, указанные в пункте 11 настоящего Положения, могут быть предусмотрены в документах на информационную систему.
Допускается создание единой системы защиты информации для:
нескольких информационных систем, функционирующих в общей программнотехнической среде и принадлежащих одному собственнику (владельцу);
нескольких типовых информационных систем, принадлежащих одному собственнику (владельцу).
При проектировании системы защиты информации информационной системы, функционирование которой предполагается на базе информационной системы другого собственника (владельца), имеющей аттестованную систему защиты информации, может быть предусмотрено применение мер защиты информации, реализованных в информационной системе этого собственника (владельца).
ГЛАВА 3
СОЗДАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
На этапе создания системы защиты информации осуществляются:
внедрение средств технической и криптографической защиты информации, проверка их работоспособности и совместимости с другими объектами информационной системы;
разработка (корректировка) документации на систему защиты информации по перечню, определенному в техническом задании;
реализация организационных мер по защите информации.
В ходе внедрения средств технической и криптографической защиты информации осуществляются:
их монтаж и наладка в соответствии с документацией на систему защиты информации, рекомендациями изготовителя, требованиями по совместимости средств криптографической защиты информации и ограничениями, указанными в сертификате соответствия;
смена реквизитов доступа к функциям управления и настройкам, установленным по умолчанию, либо блокировка учетных записей, не предусматривающих смену указанных реквизитов;
проверка корректности выполнения такими средствами требований безопасности в реальных условиях эксплуатации и во взаимодействии с другими объектами информационной системы.
Документация на систему защиты информации должна содержать описание способов разграничения доступа пользователей к объектам информационной системы, а также порядок:
резервирования и уничтожения информации;
защиты от вредоносного программного обеспечения;
использования съемных носителей информации;
использования электронной почты;
обновления средств защиты информации;
осуществления контроля (мониторинга) за функционированием информационной системы и системы защиты информации;
реагирования на события информационной безопасности и ликвидации их последствий;
управления криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу к ним и их уничтожению.
В случае документирования создания информационных систем
в соответствии с ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» сведения, указанные в пункте 17 настоящего Положения, могут быть предусмотрены в документах на информационную систему.
Реализация организационных мер по защите информации осуществляется в целях выполнения требований, изложенных в документации на систему защиты информации собственника (владельца) информационной системы, которые доводятся до сведения пользователей информационной системы под роспись.
Организационные меры по криптографической защите информации должны включать в себя меры по обеспечению особого режима допуска на территорию (в помещения), на которой может быть осуществлен доступ к средствам криптографической защиты информации и криптографическим ключам (носителям), а также по разграничению доступа к ним по кругу лиц.
ГЛАВА 4
ОСОБЕННОСТИ ЭКСПЛУАТАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ С ПРИМЕНЕНИЕМ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
В процессе эксплуатации информационной системы с применением аттестованной в установленном порядке системы защиты информации осуществляются:
контроль за соблюдением требований, установленных в нормативных правовых актах, документации на систему защиты информации собственника (владельца) информационной системы;
контроль за порядком использования объектов информационной системы;
мониторинг функционирования системы защиты информации;
выявление угроз (анализ журналов аудита), которые могут привести к сбоям, нарушению функционирования информационной системы;
резервное копирование информации, содержащейся в информационной системе;
обучение (повышение квалификации) пользователей информационной системы.
В соответствии с документацией на систему защиты информации собственники (владельцы) информационных систем выявляют и фиксируют нарушения требований по защите информации, принимают меры по своевременному устранению таких нарушений.
В случае компрометации криптографических ключей средств криптографической защиты информации собственники (владельцы) информационных систем обязаны незамедлительно прекратить использование данных средств для обработки информации.
В случае невозможности устранения выявленных нарушений в течение пяти рабочих дней с момента их выявления собственники (владельцы) информационных систем обязаны:
прекратить обработку информации, распространение и (или) предоставление которой ограничено, о чем письменно информировать ОАЦ;
осуществить доработку системы защиты информации и провести оценку на предмет необходимости ее повторной аттестации.
Наладочные работы и сервисное обслуживание объектов информационной системы проводятся с участием подразделения защиты информации или иного подразделения (должностного лица), ответственного за обеспечение защиты информации.
Модернизация действующих систем защиты информации осуществляется в порядке, установленном настоящим Положением для проектирования и создания таких систем.
В случае прекращения эксплуатации информационной системы собственник (владелец) информационной системы в соответствии с документацией на систему защиты информации принимает меры по:
защите информации, которая обрабатывалась в информационной системе;
резервному копированию информации и криптографических ключей (при необходимости), обеспечению их конфиденциальности и целостности;
уничтожению (удалению) данных и криптографических ключей с машинных носителей информации и (или) уничтожению таких носителей информации.
Приложение 1
КЛАССЫ типовых информационных систем
Класс 6-частн – негосударственные информационные системы,
в которых обрабатывается общедоступная информация и которые не имеют подключений к открытым каналам передачи данных.
Класс 6-гос – государственные информационные системы, в которых обрабатывается общедоступная информация и которые не имеют подключений к открытым каналам передачи данных.
Класс 5-частн – негосударственные информационные системы,
в которых обрабатывается общедоступная информация и которые подключены к открытым каналам передачи данных.
Класс 5-гос – государственные информационные системы, в которых обрабатывается общедоступная информация и которые подключенык открытым каналам передачи данных.
Класс 4-фл – информационные системы, в которых обрабатываются информация о частной жизни физического лица и персональные данные, иная информация, составляющая охраняемую законом тайну физического лица, распространение и (или) предоставление которой ограничено, и которые не имеют подключений к открытым каналам передачи данных.
Класс 4-юл – информационные системы, в которых обрабатывается информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением сведений, составляющих государственные секреты, и служебной информации ограниченного распространения), и которые не имеют подключений к открытым каналам передачи данных.
Класс 4-дсп – информационные системы, в которых обрабатывается служебная информация ограниченного распространения и которые не имеют подключений к открытым каналам передачи данных.
Класс 3-фл – информационные системы, в которых обрабатываются информация о частной жизни физического лица и персональные данные, иная информация, составляющая охраняемую законом тайну физического лица, распространение и (или) предоставление которой ограничено, и которые подключены к открытым каналам передачи данных.
Класс 3-юл – информационные системы, в которых обрабатывается информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица, распространение и (или) предоставление которой ограничено (за исключением сведений, составляющих государственные секреты, и служебной информации ограниченного распространения), и которые подключены к открытым каналам передачи данных.
Класс 3-дсп – информационные системы, в которых обрабатывается служебная информация ограниченного распространения и которые подключены к открытым каналам передачи данных.
Приложение 3
ПЕРЕЧЕНЬ
требований к системе защиты информации, подлежащих
включению в техническое задание
|
|
Наименование требований
|
Условие об обязательности выполнения требований
|
|
4-фл
|
4-юл
|
4-дсп
|
3-фл
|
3-юл
|
3-дсп
|
|
1
|
Аудит безопасности
|
|
|
|
|
|
|
|
1.1
|
Определение состава информации о событиях информационной безопасности, подлежащих регистрации (идентификация и аутентификация пользователей, нарушения прав доступа пользователей, выявленные нарушения информационной безопасности и другое)
|
+
|
+
|
+
|
+
|
+
|
+
|
|
1.2
|
Обеспечение сбора и хранения информации о событиях информационной безопасности в течение установленного срока хранения, но не менее одного года
|
+
|
+
|
+
|
+
|
+
|
+
|
|
1.3
|
Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности в течение установленного срока хранения, но не менее одного года
|
+/-
|
+/-
|
+/-
|
+/-
|
+/-
|
+
|
|
1.4
|
Определение способа и периодичности мониторинга (просмотра, анализа) событий информационной безопасности уполномоченными на это пользователями информационной системы
|
+
|
+
|
+
|
+
|
+
|
+
|
|
1.5
|
Обеспечение сбора и хранения информации о функционировании средств вычислительной техники, сетевого оборудования и средств защиты информации в течение установленного срока хранения, но не менее одного года
|
+
|
+
|
+
|
+
|
+
|
+
|
|
2
|
Требования по обеспечению защиты данных
|
|
|
|
|
|
|
|
2.1
|
Регламентация порядка использования в информационной системе съемных носителей информации, мобильных технических средств и контроля за таким использованием
|
+
|
+
|
+
|
+
|
+
|
+
|
|
2.2
|
Обеспечение контроля за работоспособностью, параметрами настройки и правильностью функционирования средств вычислительной техники, сетевого оборудования, системного программного обеспечения и средств защиты информации
|
+
|
+
|
+
|
+
|
+
|
+
|
|
2.3
|
Обеспечение защиты от несанкционированного доступа к резервным копиям, параметрам настройки сетевого оборудования, системного программного обеспечения, средств защиты информации и событиям безопасности
|
+
|
+
|
+
|
+
|
+
|
+
|
|
3
|
Требования по обеспечению идентификации и аутентификации
|
|
|
|
|
|
|
|
3.1
|
Обеспечение разграничения доступа пользователей к средствам вычислительной техники, сетевому оборудованию, системному программному обеспечению и средствам защиты информации
|
+
|
+
|
+
|
+
|
+
|
+
|
|
3.2
|
Обеспечение идентификации и аутентификации пользователей информационной системы
|
+
|
+
|
+
|
+
|
+
|
+
|
|
3.3
|
Обеспечение защиты обратной связи при вводе аутентификационной информации
|
+
|
+
|
+
|
+
|
+
|
+
|
|
3.4
|
Обеспечение полномочного управления (создание, активация, блокировка и уничтожение) учетными записями пользователей информационной системы
|
+
|
+
|
+
|
+
|
+
|
+
|
|
3.5
|
Обеспечение контроля за соблюдением правил генерации и смены паролей пользователей информационной системы
|
+
|
+
|
+
|
+
|
+
|
+
|
|
3.6
|
Обеспечение централизованного управления учетными записями пользователей информационной системы и контроль за соблюдением правил генерации и смены паролей пользователей информационной системы
|
+/-
|
+/-
|
+/-
|
+/-
|
+
|
+
|
|
3.7
|
Обеспечение блокировки доступа к объектам информационной системы после истечения установленного времени бездействия (неактивности) пользователя информационной системы или по его запросу
|
+
|
+
|
+
|
+
|
+
|
+
|
|
4
|
Требования по защите системы защиты информации информационной системы
|
|
|
|
|
|
|
|
4.1
|
Обеспечение изменения атрибутов безопасности сетевого оборудования, системного программного обеспечения и средств защиты информации, установленных по умолчанию
|
+
|
+
|
+
|
+
|
+
|
+
|
|
4.2
|
Обеспечение обновления объектов информационной системы
|
+
|
+
|
+
|
+
|
+
|
+
|
|
4.3
|
Обеспечение контроля и управления физическим доступом в помещения, в которых постоянно размещаются объекты информационной системы
|
+
|
+
|
+
|
+
|
+
|
+
|
|
4.4
|
Обеспечение синхронизации временных меток и (или) системного времени в информационной системе и системе защиты информации
|
+
|
+
|
+
|
+
|
+
|
+
|
|
5
|
Обеспечение криптографической защиты информации
|
|
|
|
|
|
|
|
5.1
|
Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного или предварительного шифрования)
|
+/-
|
+/-
|
+/-
|
+
|
+
|
+
|
|
5.2
|
Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства предварительного шифрования)
|
+/-
|
+/-
|
+/-
|
+/-
|
+/-
|
+/-
|
|
5.3
|
Обеспечение подлинности и контроля целостности электронных документов в информационной системе (средства выработки электронной цифровой подписи, средства проверки электронной цифровой подписи, средства выработки личного ключа или открытого ключа электронной цифровой подписи)
|
+
|
+
|
+
|
+
|
+
|
+
|
|
5.4
|
Обеспечение контроля целостности данных в информационной системе (средства контроля целостности)
|
+/-
|
+/-
|
+/-
|
+/-
|
+/-
|
+/-
|
|
5.5
|
Обеспечение конфиденциальности и контроля целостности личных ключей, используемых при выработке электронной цифровой подписи (криптографические токены)
|
+/-
|
+/-
|
+
|
+/-
|
+/-
|
+
|
|
5.6
|
Обеспечение идентификации и аутентификации в информационной системе (криптографические токены)
|
+/-
|
+/-
|
+/-
|
+/-
|
+/-
|
+/-
|
|
6
|
Дополнительные требования по обеспечению защиты информации в виртуальной инфраструктуре
|
|
|
|
|
|
|
|
6.1
|
Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями услуг
|
+/-
|
+/-
|
+
|
+
|
+
|
+
|
|
6.2
|
Обеспечение защиты виртуальной инфраструктуры от несанкционированного доступа и сетевых атак из виртуальной и физической сети, а также виртуальных машин
|
+/-
|
+/-
|
+
|
+
|
+
|
+
|
|
6.3
|
Обеспечение безопасного перемещения виртуальных машин и обрабатываемых на них данных
|
+/-
|
+/-
|
+
|
+
|
+
|
+
|
|
6.4
|
Обеспечение резервного копирования пользовательских виртуальных машин
|
+/-
|
+/-
|
+
|
+
|
+
|
+
|
|
6.5
|
Обеспечение резервирования сетевого оборудования по схеме N+1
|
+/-
|
+/-
|
+/-
|
+
|
+
|
+
|
|
6.6
|
Физическая изоляция сегмента виртуальной инфраструктуры (системы хранения и обработки данных), предназначенного для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам
|
+/-
|
+
|
+
|
+/-
|
+
|
+
|
|
7
|
Иные требования
|
|
|
|
|
|
|
|
7.1
|
Определение перечня разрешенного программного обеспечения и регламентация порядка его установки и использования
|
+
|
+
|
+
|
+
|
+
|
+
|
|
7.2
|
Обеспечение контроля за составом объектов информационной системы
|
+
|
+
|
+
|
+
|
+
|
+
|
|
7.3
|
Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования
|
+/-
|
+/-
|
+/-
|
+/-
|
+
|
+
|
|
7.4
|
Использование объектов информационной системы под пользовательскими учетными записями (использование административных учетных записей только в случае настройки объектов информационной системы или особенностей объектов информационной системы)
|
+
|
+
|
+
|
+
|
+
|
+
|
|
7.5
|
Определение состава и содержания информации, подлежащей резервированию
|
+
|
+
|
+
|
+
|
+
|
+
|
|
7.6
|
Обеспечение резервирования информации, подлежащей резервированию
|
+
|
+
|
+
|
+
|
+
|
+
|
|
7.7
|
Обеспечение резервирования конфигурационных файлов сетевого оборудования
|
+/-
|
+/-
|
+/-
|
+
|
+
|
+
|
|
7.8
|
Обеспечение обновления программного обеспечения объектов информационной системы и контроля за своевременностью такого обновления
|
+
|
+
|
+
|
+
|
+
|
+
|
|
7.9
|
Обеспечение сегментирования (изоляции) сети управления объектами информационной системы от сети передачи данных
|
+/-
|
+/-
|
+/-
|
+/-
|
+
|
+
|
|
7.10
|
Обеспечение защиты средств вычислительной техники от вредоносных программ
|
+
|
+
|
+
|
+
|
+
|
+
|
|
7.11
|
Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ
|
+/-
|
+/-
|
+/-
|
+/-
|
+
|
+
|
|
7.12
|
Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ
|
+/-
|
+/-
|
+/-
|
+
|
+
|
+
|
|
7.13
|
Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Использование маршрутизатора (коммутатора маршрутизирующего)
|
+/-
|
+/-
|
+/-
|
+
|
+
|
+
|
|
7.14
|
Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной системы только необходимыми соединениями. Использование межсетевого экрана, функционирующего на канальном, и (или) сетевом, и (или) транспортном, и (или) сеансовом, и (или) прикладном уровнях
|
+/-
|
+/-
|
+/-
|
+
|
+
|
+/-
|
|
7.15
|
Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной системы только необходимыми соединениями. Использование межсетевого экрана, функционирующего на канальном, сетевом и прикладном уровнях
|
+/-
|
+/-
|
+/-
|
+/-
|
+/-
|
+
|
|
7.16
|
Обеспечение обнаружения и предотвращения вторжений в информационной системе. Использование сетевых, и (или) поведенческих, и (или) узловых систем обнаружения и предотвращения вторжений
|
+/-
|
+/-
|
+/-
|
+
|
+
|
+
|
|
7.17
|
Обеспечение обнаружения и предотвращения вторжений в информационной системе при использовании в ней беспроводных каналов передачи данных (Wi-Fi и тому подобное). Использование беспроводных систем обнаружения и предотвращения вторжений
|
+/-
|
+/-
|
+/-
|
+
|
+
|
+
|
|
7.18
|
Обеспечение обнаружения и предотвращения утечек информации из информационной системы. Использование системы обнаружения и предотвращения утечек информации из информационной системы
|
+/-
|
+/-
|
+/-
|
+/-
|
+/-
|
+
|
|
7.19
|
Определение перечня внешних подключений к информационной системе и порядка такого подключения
|
+/-
|
+/-
|
+/-
|
+
|
+
|
+
|
|
7.20
|
Обеспечение контроля за внешними подключениями к информационной системе
|
+/-
|
+/-
|
+/-
|
+
|
+
|
+
|
|
7.21
|
Ежегодное проведение внешней и внутренней проверки отсутствия либо невозможности использования нарушителем свойств программных, программно-аппаратных и аппаратных средств, которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы и сведения о которых подтверждены изготовителями (разработчиками) этих объектов информационной системы
|
+/-
|
+/-
|
+/-
|
+/-
|
+/-
|
+
|
Примечания:
- Обозначения «4-фл», «4-юл», «4-дсп», «3-фл», «3-юл» и «3-дсп» соответствуют классам типовых
информационных систем.
- Требования, отмеченные знаком «+», являются обязательными.
- Требования, отмеченные знаком «+/–», являются рекомендуемыми.
Приложение 4
ТРЕБОВАНИЯ к организации взаимодействия информационных систем
|
6-частн/6-гос
|
5-частн/5-гос
|
4-фл/4-юл/4-дсп
|
3-фл/3-юл/3-дсп
|
|
|
4-фл
|
х
|
не допускается
|
х
|
не допускается
|
|
4-юл
|
х
|
не допускается
|
х
|
не допускается
|
|
4-дсп
|
х
|
не допускается
|
х
|
не допускается
|
|
3-фл
|
не допускается
|
х/о
|
не допускается
|
х/о
|
|
3-юл
|
не допускается
|
х/о
|
не допускается
|
х/о
|
|
3-дсп
|
не допускается
|
х/о
|
не допускается
|
х/о
|
Примечания:
Обозначения "3-фл", "3-юл", "3-дсп", "4-фл", "4-юл", "4-дсп", "5-частн", "5-гос", "6-частн" и "6-гос" соответствуют классам типовых информационных систем.
Под символом "х" понимается физически выделенный канал передачи данных.
Под символом "о" понимается наличие подключения к открытым каналам передачи данных (в том числе к глобальной компьютерной сети Интернет).
При передаче служебной информации ограниченного распространения по сетям электросвязи общего пользования данная информация должна быть защищена с использованием средств криптографической защиты информации, обеспечивающих линейное и (или) предварительное шифрование передаваемой информации.
ПОЛОЖЕНИЕ
о порядке аттестации систем защиты информации информационных систем, предназначенных
для обработки информации, распространение и (или) предоставление которой ограничено
В настоящем Положении в соответствии с абзацем третьим подпункта 6.4 пункта 6 Положения о технической и криптографической защите информации определяется порядок аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам (далее – информационная система).
Для целей настоящего Положения термины используются в значениях, определенных в Положении о технической и криптографической защите информации, Законе Республики Беларусь «Об информации, информатизации и защите информации»,а также следующие термины и их определения:
аттестат соответствия системы защиты информации информационной системы требованиям по защите информации (далее – аттестат соответствия) – документ установленной формы, подтверждающий соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации;
объекты информационной системы – средства вычислительной техники, сетевое оборудование, системное и прикладное программное обеспечение, средства защиты информации;
аттестация системы защиты информации (далее – аттестация) – комплекс организационно-технических мероприятий, в результате которых документально подтверждается соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации.
Аттестация проводится организациями, имеющими специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ (далее – специализированные организации).
Собственники (владельцы) информационных систем вправе самостоятельно проводить аттестацию.
При проведении аттестации собственником (владельцем) информационной системы самостоятельно работы по аттестации выполняются аттестационной комиссией, назначенной решением (приказом, иным документом) руководителя собственника (владельца) информационной системы.
Аттестация специализированными организациями проводится на основании следующих исходных данных:
политики информационной безопасности организации;
акта отнесения к классу типовых информационных систем;
технического задания на создание информационной системы или системы защиты информации*;
общей схемы системы защиты информации;
документации на систему защиты информации;
копий сертификатов соответствия либо экспертных заключений на средства защиты информации.
При проведении аттестации специализированной организацией привлекаются представители собственника (владельца) информационной системы из состава подразделения защиты информации или иного подразделения (должностное лицо), ответственного за обеспечение защиты информации.
* Техническое задание на создание информационной системы представляется в случае закрепления в нем требований по защите информации.
Аттестация проводится в случаях:
создания системы защиты информации;
истечения срока действия аттестата соответствия;
изменения технологии обработки защищаемой информации;
изменения технических мер, реализованных при создании системы защиты информации.
Аттестация вновь создаваемой системы защиты информации осуществляется до ввода информационной системы в эксплуатацию.
Наличие аттестата соответствия является обязательным условием для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, в течение установленного в нем срока.
Аттестация предусматривает комплексную оценку системы защиты информации в реальных условиях эксплуатации информационной системы и включает:
разработку программы и методики аттестации;
установление соответствия реального состава и структуры объектов информационной системы общей схеме системы защиты информации;
проверку правильности отнесения информационной системы к классу типовых информационных систем, выбора и применения средств защиты информации;
анализ разработанной документации на систему защиты информации собственника (владельца) информационной системы на предмет ее соответствия требованиям законодательства об информации, информатизации и защите информации;
ознакомление с документацией о распределении функций персонала по организации и обеспечению защиты информации;
проведение испытаний системы защиты информации на предмет выполнения установленных законодательством требований по защите информации;
внешнюю и внутреннюю проверку отсутствия либо невозможности использования нарушителем свойств программных, программно-аппаратных и аппаратных средств, которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы и сведения о которых подтверждены изготовителями (разработчиками) этих объектов информационной системы;
оформление технического отчета и протокола испытаний;
оформление аттестата соответствия.
Технический отчет должен содержать:
сроки проведения испытаний;
вывод о соответствии (несоответствии) реального состава и структуры объектов информационной системы общей схеме системы защиты информации;
вывод о выполнении (невыполнении) установленных законодательством требований по защите информации;
отчет о внешней и внутренней проверке отсутствия либо невозможности использования нарушителем свойств программных, программно-аппаратных и аппаратных средств, которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы и сведения о которых подтверждены изготовителями (разработчиками) этих объектов информационной системы.
При аттестации информационных систем, имеющих подключение к открытым каналам передачи данных (в том числе к глобальной компьютерной сети Интернет), проведение мероприятий, предусмотренных абзацами седьмым и восьмым пункта 8 настоящего Положения, осуществляется с использованием генератора сетевого трафика и средства контроля эффективности защищенности информации.
Допускается выполнение мероприятий, предусмотренных в пункте 8 настоящего Положения, на выделенном наборе сегментов информационной системы, обеспечивающих полную реализацию технологии обработки защищаемой информации.
Программа и методика аттестации разрабатываются на основании исходных данных и должны содержать перечень выполняемых работ, методов проверки требований безопасности, реализованных в системе защиты информации, используемой контрольной аппаратуры и тестовых средств, а также информацию о продолжительности их выполнения.
Программа и методика аттестации разрабатываются:
аттестационной комиссией, назначенной решением (приказом, иным документом) руководителя собственника (владельца) информационной системы, – при проведении аттестации собственником (владельцем) информационной системы самостоятельно;
специализированной организацией – при проведении аттестации такой организацией. В данном случае специализированная организация согласовывает разработанные программу и методику аттестации с заявителем.
Срок проведения аттестации:
определяется руководителем собственника (владельца) информационной системы – при проведении аттестации собственником (владельцем) информационной системы самостоятельно;
не может превышать ста восьмидесяти календарных дней – при проведении аттестации специализированной организацией. В случае выявления в процессе проведения аттестации недостатков специализированная организация не позднее чем за тридцать пять календарных дней до истечения срока проведения аттестации направляет заявителю соответствующее уведомление. Заявитель должен устранить недостатки, выявленные указанной организацией, в течение тридцати календарных дней со дня получения уведомления. При невозможности устранения заявителем выявленных недостатков в указанный срок специализированная организация отказывает в выдаче аттестата соответствия. После устранения недостатков заявитель вправе повторно обратиться за проведением аттестации в порядке, установленном настоящим Положением.
При подтверждении соответствия системы защиты информации требованиям законодательства об информации, информатизации и защите информации оформляется аттестат соответствия по форме согласно приложению, который подписывается:
руководителем собственника (владельца) информационной системы – при проведении аттестации собственником (владельцем) информационной системы самостоятельно;
руководителем специализированной организации – при проведении аттестации специализированной организацией.
Аттестат соответствия оформляется сроком на пять лет.
