Новая редакция положения о порядке аттестации систем защиты информации

15.10.2017 вступила в силу новая редакция Положения о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам.

Ознакомиться с новой версией Положения можно на сайте Национального правового Интернет-портала Республики Беларусь.

Практические вопросы аттестации систем защиты информации в соответствии с требованиями новой редакции Положения, утвержденного Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 11.10.2017 № 64, будут рассмотрены в новой версии моего курса: «Создание автоматизированных систем в защищенном исполнении (САИС)».

Основные изменения в Положении:

В положении введен новый термин «технология обработки защищаемой информации – упорядоченная совокупность возможностей объектов информационной системы, направленная на выполнение системой своих функций».

Изменились условия проведения аттестации. Аттестация проводится в случаях:

Старая редакция положения Новая редакция положения
создания системы защиты информации информационной системы создания системы защиты информации информационной системы
истечения срока действия аттестата соответствия истечения срока действия аттестата соответствия
изменения условий и технологии обработки защищаемой информации изменения технологии обработки защищаемой информации и (или) совокупности технических и организационных мер, реализованных при создании системы защиты информации информационной системы.
выявления собственником (владельцем) информационной системы либо Оперативно-аналитическим центром при Президенте Республики Беларусь (далее – ОАЦ) фактов недостаточности принятых мер по защите информации, обрабатываемой в информационной системе

Изменился перечень мероприятий по проведению аттестации. В новой редакции «проверку подготовки кадров и распределения ответственности персонала за организацию и обеспечение выполнения требований по защите информации» заменили на «закрепление ответственности персонала за организацию и обеспечение выполнения требований по защите информации».

Также было добавлено следующее мероприятие: «проверка отсутствия либо невозможности использования нарушителем свойств программного обеспечения и (или) технических средств информационной системы (в том числе средств защиты информации), которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы, и сведения о которых подтверждены производителями (разработчиками) этого программного обеспечения и технических средств». Причем при аттестации информационных систем, имеющих подключение к сетям электросвязи общего пользования (в том числе к глобальной компьютерной сети Интернет), проведение данного мероприятия, осуществляется с использованием средства контроля эффективности защищенности информации, которое должно пройти подтверждение соответствия требованиям с технического регламента ТР 2013/027/BY. По состоянию на 15.10.2517 на рынке РБ присутствуют следующие средства: Rapid7 Nexpose, PCS-1, MaxPatrol, IBM QRadar Vulnerability Manager.

В новой версии Положения допускается выполнение мероприятий по проведению аттестации, на выделенном наборе сегментов информационной системы, реализующих полную технологию обработки защищаемой информации.

В соответствии с новым Положением «аттестат соответствия оформляется сроком на 5 лет».

Теперь после прохождения аттестации собственники (владельцы) информационных систем должны не позднее 10 календарных дней со дня оформления (получения) аттестата соответствия представить в ОАЦ кроме копии самого аттестата, еще и копию технического отчета и протоколов испытаний.

Изменен перечень исходных данных прилагаемых к заявке на проведение аттестации: Из состава исходных данных исключен «Акт и протокол приемочных испытаний системы защиты информации».

Старая редакция положения Новая редакция положения
1. Наименование информационной системы, ее назначение. 1. Наименование информационной системы, ее назначение.
2. Документ, подтверждающий наличие в организации подразделения технической защиты информации или иного подразделения (должностного лица), выполняющего функции по технической и (или) криптографической защите информации. 2. Документ, подтверждающий наличие у собственника (владельца) информационной системы подразделения технической защиты информации или иного подразделения (должностного лица), выполняющего функции по технической и (или) криптографической защите информации.
3. Общая функциональная схема информационной системы с указанием ее физических и логических границ, мест размещения элементов системы (аппаратных и программных), средств защиты информации, информационных потоков и протоколов обмена защищаемой информацией. 3. Описание информационной системы, включающее общую функциональную схему, физические и логические границы, информационные потоки и протоколы обмена защищаемой информацией, а также места размещения элементов системы (аппаратных и программных) и средств защиты информации.
4. Документ, устанавливающий отнесение информационной системы к классу типовых объектов информатизации согласно СТБ 34.101.30-2007 «Информационные технологии. Методы и средства безопасности. Объекты информатизации. Классификация». 4. Документ, устанавливающий отнесение информационной системы к классу типовых информационных систем в порядке, установленном СТБ 34.101.30-2017 «Информационные технологии. Методы и средства безопасности. Информационные системы. Классификация».
5. Задание по безопасности или техническое задание на информационную систему. 5. Задание по безопасности или частное техническое задание на систему защиты информации.
6. Политика информационной безопасности. 6. Политика информационной безопасности организации.
7. Локальные нормативные правовые акты организации, регламентирующие порядок:

использования объектов информационной системы и их управления (администрирования);

резервирования и уничтожения информации;

защиты от вредоносного программного обеспечения;

выявления угроз, которые могут привести к сбоям, нарушению функционирования информационной системы;

реагирования на инциденты информационной безопасности;

контроля (мониторинга) за функционированием информационной системы.

7. Локальные нормативные правовые акты, направленные на реализацию политики информационной безопасности организации.
8. Копии сертификатов соответствия либо экспертных заключений на средства защиты информации. 8. Копии сертификатов соответствия либо экспертных заключений на средства защиты информации.
9. Основные характеристики средств физической защиты информационной системы, в том числе помещений, в которых обрабатывается защищаемая информация и хранятся машинные носители информации. 9. Основные характеристики инженерно-физических средств защиты, технических средств и систем охраны информационной системы, в том числе помещений, в которых обрабатывается защищаемая информация и хранятся носители информации.
10. Акт и протокол приемочных испытаний системы защиты информации.