Изменения в Положении о порядке технической защиты информации (Приказ ОАЦ при Президенте Республики Беларусь от 11.10.2017 № 64).

15.10.2017 вступает в силу Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 11 октября 2017 г. № 64. Приказом вносятся изменения в:

  • Положение о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;
  • Положение о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации;
  • Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам.

Ознакомиться с новой версией Положения можно на сайте Национального правового Интернет-портала Республики Беларусь.

Практические вопросы проектирования, создания и аттестации систем защиты информации (включая разработку документации на систему защиты и внедрение средств защиты) в соответствии с требованиями Положений, утвержденных Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 11.10.2017 № 64, будут рассмотрены в новой версии моего авторского курса: «Создание автоматизированных систем в защищенном исполнении (САИС)».

Изменения в Положение были ожидаемы для участников IT Security Conference 2017, и были рассмотрены на секции «Системы защиты информации. Сертификация и аттестация» в докладе Сергея Пашковского «Основные направления совершенствования законодательства в области информационной безопасности».

Структура Положения осталась прежней. Основные изменения в Положении представлены ниже.

Глава 1 Общие положения

Термин «политика информационной безопасности» заменен термином: «политика информационной безопасности организации» с соответствующим определением.

Было Стало
политика информационной безопасности – совокупность документированных правил, процедур и требований в области защиты информации, действующих у собственника (владельца) информационной системы.

 

политика информационной безопасности организации – общие намерения и направления деятельности по обеспечению конфиденциальности, целостности, подлинности, доступности и сохранности информации, официально сформулированные собственником (владельцем) информационной системы.

 

Глава 2 Проектирование системы защиты информации

На этапе проектирования системы защиты информации осуществляются:

Было Стало
классификация информации, хранящейся и обрабатываемой в информационной системе, в соответствии с законодательством об информации, информатизации и защите информации, в том числе техническими нормативными правовыми актами; классификация информации, хранящейся и обрабатываемой
в информационной системе, в соответствии с законодательством;
анализ организационной структуры информационной системы и информационных потоков в целях определения состава (количества) и мест размещения элементов системы (аппаратных и программных), ее физических и логических границ; анализ структуры информационной системы и информационных потоков в целях определения состава (количества) и мест размещения элементов системы (аппаратных и программных), ее физических и логических границ;
присвоение информационной системе класса типового объекта информатизации в порядке, установленном СТБ 34.101.30-2007 «Информационные технологии. Методы и средства безопасности. Объекты информатизации. Классификация»; отнесение информационной системы к классу типовых информационных систем в порядке, установленном СТБ 34.101.30-2017 «Информационные технологии. Методы и средства безопасности. Информационные системы. Классификация»;
определение требований к системе защиты информации в задании по безопасности на информационную систему или в техническом задании на информационную систему (далее – техническое задание). определение требований к системе защиты информации в частном техническом задании на систему защиты информации или в задании по безопасности на информационную систему.

 

В соответствии с требованиями нового Положения «Разработка задания по безопасности осуществляется в случае, если информационная система имеет подключение к сетям электросвязи общего пользования (в том числе к глобальной компьютерной сети Интернет)».

В Приложении 2 к Положению определены требования к организации взаимодействия информационных систем, и теперь «Сведения об организации взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия)» в Частном техническом задании на СЗИ должны определяться с учетом Приложения 2. При этом взаимодействие информационных систем может осуществляться двумя способами: с использованием физически выделенного канала передачи данных и с использованием подключения к сетям электросвязи общего пользования (в том числе к глобальной компьютерной сети Интернет).

В Положении установлено, что в ОАЦ направляется копия задания по безопасности, только после получения из аккредитованной испытательной лаборатории (центра) протокола оценки задания по безопасности, свидетельствующего о положительных результатах оценки, а также определен срок передачи задания по безопасности не позднее 30 календарных дней со дня получения протокола оценки.

В новом Положении предусмотрена возможность создания единой системы защиты информации взаимодействующих информационных систем, функционирующих в общей программно-технической среде и принадлежащих одному собственнику (владельцу).

Глава 3 Создание системы защиты информации

На этапе создания системы защиты информации осуществляются:

Было Стало
разработка политики информационной безопасности; разработка политики информационной безопасности организации;
разработка локальных нормативных правовых актов, направленных на реализацию политики информационной безопасности организации, в соответствии с требованиями, изложенными в задании по безопасности или частном техническом задании;
внедрение планируемых к использованию средств защиты информации, проверка их работоспособности и совместимости внедрение средств технической защиты информации, необходимых для реализации требований, изложенных в задании по безопасности или частном техническом задании, проверка работоспособности и совместимости этих средств;
внедрение организационных мер по защите информации; реализация организационных мер по защите информации в соответствии с требованиями политики информационной безопасности организации;
опытная эксплуатация системы защиты информации; опытная эксплуатация системы защиты информации.
приемочные испытания системы защиты информации.

 

 

Политика информационной безопасности организации должна содержать:

Было Стало
цели создания системы защиты информации; цели создания системы защиты информации;
перечень субъектов и объектов информационной системы, сведения о месте их размещения и порядке информационного взаимодействия субъектов с объектами этой системы и объектов между собой; Теперь в ЛНПА
способы разграничения доступа субъектов к объектам информационной системы; Теперь в ЛНПА
права и обязанности субъектов информационной системы; права и обязанности субъектов информационной системы;
порядок взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия); порядок взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия).
перечень организационных мер, направленных на реализацию требований по созданию системы защиты информации; Теперь в ЛНПА
порядок действий при возникновении угроз обеспечения конфиденциальности, целостности, доступности, подлинности и сохранности информации, в том числе чрезвычайных и непредотвратимых обстоятельств (непреодолимой силы), и при ликвидации их последствий. Теперь в ЛНПА

В новом Положении расширен перечень требований к содержанию ЛНПА: «Локальные нормативные правовые акты, направленные на реализацию политики информационной безопасности организации, должны содержать:

  • перечень средств вычислительной техники, сетевого оборудования, системного и прикладного программного обеспечения, средств технической защиты информации (далее – объекты информационной системы) и субъектов информационной системы, сведения о месте их размещения и порядке информационного взаимодействия субъектов информационной системы с объектами этой системы и объектов между собой;
  • способы разграничения доступа субъектов к объектам информационной системы;
  • перечень организационных мер, направленных на реализацию требований по созданию системы защиты информации;
  • порядок действий при возникновении угроз обеспечения конфиденциальности, целостности, доступности, подлинности и сохранности информации, в том числе чрезвычайных и непредотвратимых обстоятельств (непреодолимой силы), и при ликвидации их последствий;
  • порядок резервирования и уничтожения информации;
  • порядок защиты от вредоносного программного обеспечения;
  • порядок выявления угроз, которые могут привести к сбоям, нарушению функционирования информационной системы;
  • порядок осуществления контроля (мониторинга) за функционированием информационной системы».

В новом Положении установлено логичное требование «смена реквизитов доступа к функциям управления и настройкам, установленным по умолчанию, либо блокировка учетных записей, не предусматривающих смену указанных реквизитов, в ходе внедрения средств технической защиты информации».

Глава 3 Особенности эксплуатации информационной системы с применением системы защиты информации

В Положении установлено, что «Собственники (владельцы) информационных систем в произвольной форме информируют ОАЦ о прекращении или нарушении функционирования информационной системы, нарушении конфиденциальности, целостности, подлинности, доступности либо сохранности информации в течение суток с момента выявления этих событий».

В Положении установлено, что «Модернизация действующих систем защиты информации осуществляется в порядке, установленном настоящим Положением для проектирования и создания этих систем» (в старой версии было «в порядке, установленном настоящим Положением создания этих систем»).

 

В Приложении 1 к Положению, содержащем Перечень требований к системе защиты информации, подлежащих включению в частное техническое задание или задание по безопасности на информационную систему, произведены:

  1. Систематизация (группировка) требований в следующие подгруппы:
  • Требования по обеспечению аудита безопасности
  • Требования по обеспечению защиты данных
  • Требования по обеспечению идентификации и аутентификации
  • Требования по обеспечению защиты системы защиты информации информационной системы
  • Требования по обеспечению защищенного канала передачи данных
  • Требования по обеспечению защиты информации в виртуальной инфраструктуре
  • Иные требования
  1. Адаптация требований под новую классификацию ИС;
  2. Корректировка требований и подходов, основанная на анализе практики применения приказа.

 

ЗЫ: Особенно понравилось мне в новой редакции Положения — исключение необходимости отдельного проведения приемочных испытаний системы защиты информации с разработкой Программы и методики и оформлением протокола и акта. Сейчас эти испытания совмещены с аттестационными, и нет необходимости проводить данную процедуру два раза.