Изменения в Положении о порядке технической защиты информации (Приказ ОАЦ при Президенте Республики Беларусь от 16.01.2015 № 3).

«Положение о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам», утверждено Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 30.08.2013 № 62 (в редакции приказа Оперативно-аналитического центра при Президенте Республики Беларусь 16.01.2015 № 3)

Структура:

  • ГЛАВА 1 ОБЩИЕ ПОЛОЖЕНИЯ
  • ГЛАВА 2 ПРОЕКТИРОВАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
  • ГЛАВА 3 СОЗДАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
  • ГЛАВА 4 ОСОБЕННОСТИ ЭКСПЛУАТАЦИИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
  • ПРИЛОЖЕНИЕ — ПЕРЕЧЕНЬ требований к системе защиты информации, подлежащих включению в задание по безопасности на информационную систему или в техническое задание на информационную систему

 

Кратко по содержанию:
В положении введен следующий термин и его определение: «политика информационной безопасности – совокупность документированных правил, процедур и требований в области защиты информации, действующих у собственника (владельца) информационной системы».

В новой редакции «Подключение информационных систем к сетям электросвязи общего пользования, в том числе к глобальной компьютерной сети Интернет, осуществляется при условии выполнения требований, предусмотренных в части первой пункта 10 настоящего Положения и в приложении к этому Положению».

Комплекс мероприятий по защите информации, учитывает основные стадии модели жизненного цикла информационных систем и включает:

  • проектирование системы защиты информации;
  • создание системы защиты информации;
  • аттестацию системы защиты информации;
  • обеспечение функционирования системы защиты информации в процессе эксплуатации информационной системы;
  • обеспечение защиты информации в случае прекращения эксплуатации информационной системы.

В новой редакции присутствует возможность определения требований к системе защиты информации не только в задании по безопасности на информационную систему но и в техническом задании на информационную систему.
Так в п.10 указано, что задание по безопасности разрабатывается в случае, если предполагается:

  • размещение составных частей (сегментов) информационной системы одновременно на территории двух и более областей Республики Беларусь либо одновременно на территории г. Минска и одной или нескольких областей Республики Беларусь;
  • подключение информационной системы к сетям электросвязи общего пользования, в том числе к глобальной компьютерной сети Интернет.

А для других информационных систем требования к системам защиты информации определяются в техническом задании, которое должно содержать:

  • цели создания системы защиты информации;
  • класс информационной системы;
  • сведения о взаимодействии с иными информационными системами (в случае предполагаемого взаимодействия);
  • перечень требований, определенных согласно приложению к настоящему Положению.

На этапе «Создание системы защиты информации», в целях реализации политики информационной безопасности разрабатываются локальные нормативные правовые акты организации, регламентирующие порядок:

  • использования объектов информационной системы и их управления (администрирования);
  • резервирования и уничтожения информации;
  • защиты от вредоносного программного обеспечения;
  • выявления угроз, которые могут привести к сбоям, нарушению функционирования информационной системы;
  • реагирования на инциденты информационной безопасности;
  • контроля (мониторинга) за функционированием информационной системы.

Также в новой редакции указан перечень мероприятий, которые необходимо выполнять в ходе эксплуатации СЗИ, а именно:

  • контроль за соблюдением требований, установленных в нормативных правовых актах, в том числе в технических нормативных правовых актах, локальных нормативных правовых актах организации;
  • контроль за порядком использования объектов информационной системы;
  • мониторинг функционирования системы защиты информации;
  • выявление угроз, которые могут привести к сбоям, нарушению функционирования информационной системы;
  • резервное копирование информации, содержащейся в информационной системе;
  • обучение (повышение квалификации) субъектов информационной системы.

В приложении к  Положению приведен перечень требований к системе защиты информации, подлежащих включению в задание по безопасности на информационную систему или в техническое задание на информационную систему

Перечень включает в себя 74 требования, которые должны выбираться в зависимости от класса объекта информатизации (А2, Б2, В2).

 

С полным текстом новой редакции Приказа вы можете ознакомиться на официальном сайте ОАЦ.

ЗЫ: Наш регулятор в очередной раз порадовал меня грамотно написанным НПА, который разработан с учетом  современных тенденций в области обеспечения информационной безопасности.