‹ Обратно

Изменения в требованиях законодательства Республики Беларусь в области защиты информации. Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 10 декабря 2024 г. № 259 «Об изменении приказов Оперативно-аналитического центра при Президенте Республики Беларусь от 28 марта 2014 г. № 26 и от 20 февраля 2020 г. № 66».

10 декабря 2024 г. В ступил в силу приказ Оперативно-аналитического центра при Президенте Республики Беларусь № 259 «Об изменении приказов Оперативно-аналитического центра при Президенте Республики Беларусь от 28 марта 2014 г. № 26 и от 20 февраля 2020 г. № 66».

Приказом утверждены в новой редакции:

• Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено;
• Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено;
• Положение о порядке представления в Оперативно-аналитический центр при Президенте Республики Беларусь сведений о событиях информационной безопасности, состоянии технической и криптографической защиты информации.

 

 

Краткие сведения об изменениях в положениях:

1. Систематизирован и уточнен понятийный аппарат, используемый в Положениях.

2. Явно прописано требование по утверждению Политики информационной безопасности (далее – ИБ), Структурной и Логической схемы, Технического задания (далее – ТЗ) на создание системы защиты информации (далее – СЗИ) , локальных правовых актов (далее – ЛПА) по вопросам применения СЗИ, собственником (владельцем) информационной системы (далее – ИС).

3. Изменены также требования к содержанию политики ИБ, и составу и содержанию ЛПА и других организационно-распорядительных документов по вопросам применения СЗИ. Требования сформулированы с учетом лучших международных практик по построению систем менеджмента информационной безопасности и теперь позволяют организации самостоятельно определять содержание и состав с учетом своей специфики (например размера организации и вида ее деятельности, сложности процессов и их взаимодействий и компетентности персонала).

4. Установлено, что сразу после разработки (корректировки) политики ИБ, на основе анализа структуры ИС и информационных потоков (внутренних и внешних), состава, количества и мест размещения активов ИС, ее физических и логических границ, разрабатываются структурная и логическая схемы ИС.

Интересно, что если сравнить с требованиями к содержанию структурной и логической схем, которые содержатся в Положении о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации, а также в Приказе ОАЦ №130, то, на мой взгляд требования к содержанию таких схем в редакции Приказа №259 самые строгие и детальные.

5. Установлен запрет на определение порядка применения СЗИ в ЛПА организации по иным вопросам ее деятельности.

6. Добавлена необходимость проведения на регулярной основе, но не реже одного раза в год со дня аттестации СЗИ, анализа эффективности применения СЗИ (результаты Анализа должны быть отражены в документе произвольной формы, который подлежит утверждению руководителем организации – собственника (владельца) ИС).

7. В Перечне требований к СЗИ, подлежащих включению в ТЗ, произошли значительные изменения в части добавления/исключения требований, уточнения/изменения формулировок требований, изменения области применения требований (детальные сведения в таблице 4 настоящего документа).

8. Добавлено требование проводить оценку эффективности защищенности ИС (тестирование на проникновение) в ходе аттестации СЗИ для систем класса «3-бг» и «3-дсп».

9. Добавлены требования к содержанию технического отчета и протокола испытаний.

10. Изменилась частота предоставления сведений:

• об ИС, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;
• о подразделениях защиты информации или иных подразделениях (должностных лицах), ответственных за обеспечение защиты информации.

Теперь данные сведения дополнительно предоставляются не позднее десяти календарных дней с момента изменения ранее представленных сведений.