Информационная безопасность

Здесь Вы найдете только нужную информацию.

Изменения в законодательстве в области технической и криптографической защиты информации (Приказ ОАЦ №195)

15.11.2021 вступил в силу Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 12.11.2021 № 195, который внес изменение в Положение о порядке технической и криптографической защиты информации в информационных системах (далее – Положение), предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утвержденное приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66.

Приказом №195 в Положение о порядке технической и криптографической защиты информации в информационных системах были внесены следующие основные изменения:

1. Вместо класса «фл» - обозначающего информационные системы, в которых обрабатываются информация о частной жизни физического лица и персональные данные, иная информация, составляющая охраняемую законом тайну физического лица, распространение и (или) предоставление которой ограничено, введены следующие классы:

  • «ин» – информационные системы, в которых обрабатываются персональные данные, за исключением специальных персональных данных
  • «спец» – информационные системы, в которых обрабатываются специальные персональные данные, за исключением биометрических и генетических персональных данных,
  • «бг» – информационные системы, в которых обрабатываются биометрические и генетические персональные данные.

2. Добавлены требования к содержанию технического задания на создание систем защиты информации информационных систем, обрабатывающих персональные данные. Теперь в случае их обработки в технические задание необходимо включать порядок обезличивания персональных данных с применением следующих методов:

  • введение идентификаторов - реализуется путем замены персональных данных или части персональных данных, позволяющих идентифицировать субъекта персональных данных, их идентификаторами и создания таблицы соответствия с последующим раздельным хранением идентификаторов и таблиц.
  • изменение состава - реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта персональных данных, с последующим раздельным хранением полученных данных и правил изменения.
  • декомпозиция - реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создания таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением подмножеств и таблиц.
  • перестановка - реализуется путем взаимного перемещения отдельных записей, а также групп записей между собой с последующим раздельным хранением полученных данных и правил изменения.
  • зашифрование - реализуется путем применения средств криптографической защиты информации (предварительного шифрования), имеющих сертификат соответствия Национальной системы подтверждения соответствия Республики Беларусь или положительное экспертное заключение по результатам государственной экспертизы, проводимой ОАЦ.

3. Внесены следующие изменения в Перечень требований к системе защиты информации, подлежащих включению в техническое задание (Приложение 3 к Положение о порядке технической и криптографической защиты информации в информационных системах):

3.1. Изменена формулировка требования 5.1 по обеспечению криптографической защиты информации:

  • старая формулировка: «Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного или предварительного шифрования)».
  • новая формулировка: «Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного шифрования), если не осуществлено предварительное шифрование защищаемой информации».

3.2. Изменена формулировка требования 5.6 по обеспечению криптографической защиты информации:

  • старая формулировка: «Обеспечение идентификации и аутентификации в информационной системе (криптографические токены)»;
  • новая формулировка: «Обеспечение многофакторной и (или) многоэтапной аутентификации пользователей в информационной системе (криптографический токен и (или) средства выработки электронной цифровой подписи)».

3.3. Были добавлены дополнительные обязательные требования:

  • Для информационных систем обрабатывающих персональные данные (классы 4-бг, 3-ин, 3-спец, 3-бг) стало обязательным требование «Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности в течение установленного срока хранения, но не менее одного года».
  • Для информационных систем обрабатывающих персональные данные (класс 3-бг) стало обязательным требование «Обеспечение централизованного управления учетными записями пользователей информационной системы и контроль за соблюдением правил генерации и смены паролей пользователей информационной системы».
  • Для информационных систем обрабатывающих персональные данные (классы 4-бг, 3-бг) стало обязательным требование «Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства предварительного шифрования)».
  • Для информационных систем обрабатывающих персональные данные (классы 4-бг, 3-бг) стало обязательным требование «Обеспечение контроля целостности данных в информационной системе (средства контроля целостности)».
  • Для информационных систем обрабатывающих персональные данные (классы 4-бг, 3-бг) стало обязательным требование «Обеспечение контроля целостности данных в информационной системе (средства контроля целостности)».
  • Для информационных систем обрабатывающих персональные данные (классы 4-ин, 4-спец, 4-бг) стало обязательным требование «Обеспечение безопасного перемещения виртуальных машин и обрабатываемых на них данных».
  • Для информационных систем обрабатывающих персональные данные (класс 4-бг) стало обязательным требование «Обеспечение резервного копирования пользовательских виртуальных машин».
  • Для информационных систем обрабатывающих персональные данные (класс 3-бг) стало обязательным требование «Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования».
  • Для информационных систем обрабатывающих персональные данные (класс 4-бг) и информационных систем обрабатывающих служебную информацию ограниченного распространения (класс 4-дсп) стало обязательным требование «Обеспечение резервирования конфигурационных файлов сетевого оборудования».
  • Для информационных систем обрабатывающих персональные данные (класс 3-бг) стало обязательным требование «Обеспечение сегментирования (изоляции) сети управления объектами информационной системы от сети передачи данных».
  • Для информационных систем обрабатывающих персональные данные (класс 3-бг) стало обязательным требование «Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ». Требование закрывается с использованием средства защиты информации - потокового антивируса.
  • Для информационных систем обрабатывающих служебную информацию ограниченного распространения (класс 3-дсп) стало обязательным требование «Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной системы только необходимыми соединениями. Использование межсетевого экрана, функционирующего на канальном, и (или) сетевом, и (или) транспортном, и (или) сеансовом, и (или) прикладном уровнях». Требование закрывается с использованием средства защиты информации – межсетевого экрана.
  • Для информационных систем обрабатывающих персональные данные (классы 3-ин, 3-спец, 3-бг) и информационных систем обрабатывающих коммерческую и иную охраняемую законом тайну юридического лица (класс 3-юл) стало обязательным требование «Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной системы только необходимыми соединениями. Использование межсетевого экрана, функционирующего на канальном, сетевом и прикладном уровнях». Требование закрывается с использованием средства защиты информации – межсетевого экрана, работающего в том числе и на прикладном уровне.
  • Для информационных систем обрабатывающих персональные данные (класс 3-бг) стало обязательным требование «Ежегодное проведение внешней и внутренней проверки отсутствия либо невозможности использования нарушителем свойств программных, программно-аппаратных и аппаратных средств, которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы и сведения о которых подтверждены изготовителями (разработчиками) этих объектов информационной системы». Требование закрывается с использованием: средства защиты информации – сканера уязвимостей, или соответствующих услуг.

3.4. Следующие требования перестали быть обязательными:

  • Для информационных систем обрабатывающих персональные данные (класс 3-бг) перестало быть обязательным требование «Обеспечение защиты обратной связи при вводе аутентификационной информации».
  • Для информационных систем обрабатывающих служебную информацию ограниченного распространения (класс 4-дсп) перестали быть обязательными следующие требования: «Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями услуг», «Обеспечение защиты виртуальной инфраструктуры от несанкционированного доступа и сетевых атак из виртуальной и физической сети, а также виртуальных машин», «Обеспечение безопасного перемещения виртуальных машин и обрабатываемых на них данных».
  • Для информационных систем обрабатывающих персональные данные (классы 43-ин, 3-спец, 3-бг) перестало быть обязательным требование «Обеспечение резервирования сетевого оборудования по схеме N+1».
  • Для информационных систем обрабатывающих коммерческую и иную охраняемую законом тайну юридического лица (классы 4-юл, 3-юл) перестало быть обязательным требование «Физическая изоляция сегмента виртуальной инфраструктуры (системы хранения и обработки данных), предназначенного для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам».

Как изменился Перечень требований к системе защиты информации, подлежащих включению в техническое задание, можно посмотреть в таблице по ссылке.