Информационная безопасность

Здесь Вы найдете только нужную информацию.

Новая редакция Указа № 450

     В целом, изменения соответствуют заявлениям сотрудников ОАЦ, сделанным в ходе последних конференций по информационной безопасности. Из интерестного следует отметить, что С 1 июля 2020 г. подтверждение наличия лицензии может осуществляться путем обращения к Единому реестру лицензий, внедрение которого станет отправной точкой для максимального использования информационных технологий в процессе взаимодействия лицензирующих органов, соискателей лицензий и лицензиатов.

     Учитывая, что для полноты картины следует дождаться подзаконных актов, которые будут приняты ОАЦ, привожу сравнение старой и новой версии Указа № 450.

201. Лицензирование деятельности по технической и (или) криптографической защите информации (далее для целей настоящей главы–лицензируемая деятельность) осуществляется Оперативно-аналитическим центром при Президенте Республики Беларусь (далее – Оперативно-аналитический центр).

+

202. Лицензируемая деятельность включает составляющие работы и услуги, указанные в пункте 13 приложения 1 к настоящему Положению.

+

203. Для целей настоящей главы и пункта 13 приложения 1 к настоящему Положению:

203.1. под информацией, для осуществления деятельности по технической защите которой требуется получение лицензии, понимается информация: распространение и (или) предоставление которой ограничено; обрабатываемая на критически важных объектах информатизации;

203.2. под информацией, для осуществления деятельности по криптографической защите которой требуется получение лицензии, понимается информация:

распространение и (или) предоставление которой ограничено, не содержащая сведений, отнесенных к государственным секретам; обрабатываемая на критически важных объектах информатизации; обрабатываемая в государственных информационных системах.

203. Лицензируемая деятельность осуществляется юридическими лицами Республики Беларусь. Для целей настоящей главы и пункта13 приложения
1 к настоящему Положению под информацией, для осуществления деятельности по технической и(или) криптографической защите которой требуется получение лицензии, понимается информация:

распространение и (или) предоставление которой ограничено;

обрабатываемая на критически важных объектах информатизации;

обрабатываемая в информационных системах

в форме электронных документов.

203-1. Не требуется получения лицензии для выполнения работ по технической и (или) криптографической защите информации, если эти работы выполняются для собственных нужд обладателем информации, распространение и (или) предоставление которой ограничено, собственником (владельцем) критически важных объектов информатизации и государственных информационных систем.

203-1. Не требуется получения лицензии для выполнения работ по технической и (или) криптографической защите информации, если эти работы выполняются для собственных нужд обладателем информации, распространение и (или) предоставление которой ограничено, собственником (владельцем) информационных систем и критически важных объектов информатизации.

204. Лицензируемая деятельность осуществляется только государственными юридическими лицами Республики Беларусь и хозяйственными обществами, 100 процентов акций (долей в уставных фондах) которых принадлежат Республике Беларусь, по следующим составляющим ее работам и (или) услугам:

аттестация объектов информатизации, а также аттестация систем защиты информации информационных систем, если владельцем соответствующего объекта информатизации (информационной системы) является государственный орган или государственная организация и такой объект информатизации (информационная система) предназначен для обработки информации, содержащей государственные секреты;

проведение работ по выявлению специальных технических средств, предназначенных для негласного получения информации.

204. Лицензируемая деятельность осуществляется только государственными юридическими лицами Республики Беларусь и хозяйственными обществами, 100 процентов акций (долей в уставных фондах) которых принадлежат Республике Беларусь, по следующим составляющим ее работам и (или) услугам:

аттестация объектов информатизации, предназначенных для проведения работ с использованием государственных секретов, если владельцем соответствующего объекта информатизации является государственный орган или государственная организация, а также хозяйственное общество, 50 и более процентов акций (долей в уставном фонде) которого находится в собственности Республики Беларусь и(или) ее административно-территориальных единиц (далее для целей настоящей главы – государственная организация);

проведение работ по выявлению специальных технических средств, предназначенных для негласного получения информации.

205. Лицензионными требованиями и условиями, предъявляемыми к соискателю лицензии, являются:

наличие в штате не менее 3 специалистов, имеющих высшее образование в области технической и (или) криптографической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической и (или) криптографической защиты информации в порядке, установленном законодательством;

наличие средств измерения и контроля, технических, программно-аппаратных и программных средств, а также помещений, необходимых для выполнения работ и (или) оказания услуг, составляющих лицензируемую деятельность.

 

205. Лицензионными требованиями и условиями, предъявляемыми к соискателю лицензии, являются:

205.1. общие лицензионные требования и условия:

наличие в штате не менее 3 работников, а при наличии обособленных подразделений – не менее 3 работников в штате каждого такого подразделения (за исключением соискателей лицензии, претендующих на осуществление лицензируемой деятельности в части составляющих работ и(или) услуг, предусмотренных в подпунктах 13.8 и13.9 пункта 13 приложения 1 к настоящему Положению, для которых требуется наличие в штате каждого обособленного подразделения не менее одного работника), имеющих высшее образование в области защиты информации либо высшее или профессионально-техническое образование и прошедших переподготовку или повышение квалификации по вопросам технической и криптографической защиты информации;

наличие на праве собственности или ином законном основании средств измерений и контроля, технических, программно-аппаратных и программных средств в соответствии

с перечнем, определяемым Оперативно-аналитическим центром, а также помещений, необходимых для выполнения работ и(или) оказания услуг, составляющих лицензируемую деятельность;

205.2. для деятельности по проведению специальных исследований технических средств, выявлению специальных технических средств, предназначенных для негласного получения информации, проектированию, созданию систем защиты информации на объектах информатизации, аттестации объектов информатизации, предназначенных для проведения работ с использованием государственных секретов:

наличие разрешения на осуществление деятельности с использованием государственных секретов;

наличие у руководителя и других работников соискателя лицензии, которые непосредственно будут осуществлять лицензируемую деятельность, соответствующего допуска к государственным секретам;

наличие объектов (объекта) информатизации, предназначенных для обработки информации, содержащей государственные секреты;

прохождение периодической метрологической поверки (калибровки) средств измерений, необходимых для выполнения работ (оказания услуг);

205.3. для деятельности по проектированию, созданию, аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и(или) предоставление которой ограничено, не отнесенной к государственным секретам:

наличие в штате не менее 3 работников, имеющих высшее образование в области защиты информации либо высшее или профессионально-техническое образование и прошедших переподготовку или повышение квалификации по вопросам технической и криптографической защиты информации, для которых работа у данного нанимателя является основным местом работы;

наличие информационной системы, предназначенной для обработки служебной информации ограниченного распространения;

205.4. для деятельности по проектированию, созданию и аудиту систем информационной безопасности критически важных объектов информатизации:

наличие в штате не менее 3 работников, имеющих высшее образование в области защиты информации либо высшее или профессионально-техническое образование и прошедших переподготовку или повышение квалификации по вопросам технической и криптографической защиты информации, для которых работа у данного нанимателя является основным местом работы;

наличие информационной системы, предназначенной для обработки служебной информации ограниченного распространения;

наличие сертификата соответствия системы менеджмента информационной безопасности, выданного в Национальной системе подтверждения соответствия Республики Беларусь.

206. Лицензионными требованиями и условиями, предъявляемыми к лицензиату, является соблюдение лицензионных требований и условий, указанных в пункте 205 настоящего Положения.

Лицензиат также обязан:

начать осуществление лицензируемой деятельности не позднее 6 месяцев со дня получения лицензии;

ежегодно до 30 декабря представлять в Оперативно-аналитический центр отчет о выполненных за год работах (оказанных услугах), составляющих лицензируемую деятельность.

 

206. Лицензионными требованиями и условиями, предъявляемыми к лицензиату, являются:

206.1. общие лицензионные условия:

соблюдение лицензионных требований и условий, указанных в подпункте 205.1 пункта 205 настоящего Положения;

наличие назначенного в установленном порядке лица, ответственного за осуществление лицензируемой деятельности;

повышение квалификации в сфере технической и криптографической защиты информации работников, которые непосредственно будут осуществлять лицензируемую деятельность, не реже одного раза в 3 года;

представление ежегодно до 1 февраля года, следующего за отчетным, в Оперативно-аналитический центр отчета о выполненных за предыдущий год работах (оказанных услугах), составляющих лицензируемую деятельность, по форме, определяемой Оперативно-аналитическим центром;

206.2. для деятельности по проведению специальных исследований технических средств, выявлению специальных технических средств, предназначенных для негласного получения информации, проектированию, созданию систем защиты информации на объектах информатизации, аттестации объектов информатизации, предназначенных для проведения работ с использованием государственных секретов,–соблюдение лицензионных требований и условий, указанных в подпункте 205.2 пункта 205 настоящего Положения;

206.3. для деятельности по проектированию, созданию, аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и(или) предоставление которой ограничено, не отнесенной к государственным секретам, – соблюдение лицензионных требований и условий, указанных в подпункте 205.3 пункта 205 настоящего Положения;

206.4. для деятельности по проектированию, созданию и аудиту систем информационной безопасности критически важных объектов информатизации – соблюдение лицензионных требований и условий, указанных в подпункте 205.4 пункта 205 настоящего Положения.

207. Особыми лицензионными требованиями и условиями являются:

выполнение работ и (или) оказание услуг, составляющих лицензируемую деятельность, в государственных организациях по согласованию с Оперативно-аналитическим центром;

ограничение выполнения работ и (или) оказания услуг, составляющих лицензируемую деятельность, выполнением функций технического регистратора доменных имен в национальном сегменте глобальной компьютерной сети Интернет.

207. Особым лицензионным требованием и условием является выполнение работ и (или) оказание услуг, составляющих лицензируемую деятельность, в государственных органах и государственных организациях по согласованию с Оперативно-аналитическим центром. Порядок такого согласования определяется Оперативно-аналитическим центром.

 

208. Для получения лицензии ее соискатель дополнительно к документам, указанным в подпунктах 15.1–15.4 пункта 15 настоящего Положения, представляет сведения:

о работниках соискателя лицензии, которыми будет осуществляться лицензируемая деятельность, с указанием фамилии, собственного имени, отчества (если таковое имеется), образования, специальности, квалификационного разряда и трудового стажа;

о наличии средств измерений и контроля, технических, программно-аппаратных и программных средств, а также помещений, необходимых для выполнения работ и (или) оказания услуг, составляющих лицензируемую деятельность.

Оперативно-аналитический центр также запрашивает в порядке, установленном настоящим Положением, копию разрешения органов государственной безопасности Республики Беларусь (при его наличии), выданного соискателю лицензии на осуществление деятельности с использованием сведений, составляющих государственные секреты.

+

209. До принятия решения по вопросам лицензирования Оперативно-аналитический центр вправе провести оценку и (или) назначить проведение экспертизы соответствия возможностей соискателя лицензии (лицензиата) лицензионным требованиям и условиям.

+

210. В формируемом Оперативно-аналитическим центром реестре лицензий помимо сведений, определенных в пункте 94 настоящего Положения, указываются особые лицензионные требования и условия.

Исключен

211. Грубым нарушением законодательства о лицензировании, лицензионных требований и условий является неоднократное (два раза и более в течение 12 месяцев подряд) выполнение лицензиатом работ и (или) оказание услуг, составляющих лицензируемую деятельность, в государственных организациях без согласования с Оперативно-аналитическим центром.

211. Грубыми нарушениями законодательства о лицензировании, лицензионных требований и условий являются:

нарушение требований нормативных правовых актов, в том числе обязательных для соблюдения требований технических нормативных правовых актов, в сфере технической и криптографической защиты информации, которое способствовало или привело к неправомерному доступу, уничтожению, модификации (изменению), копированию, распространению и(или) предоставлению информации, блокированию правомерного доступа к информации или чрезвычайной ситуации техногенного характера;

неоднократное (два раза и более в течение 12 месяцев подряд) несоблюдение особого лицензионного требования (условия), указанного
в пункте 207 настоящего Положения;

неоднократное (два раза и более в течение 12 месяцев подряд) нарушение порядка:

проведения специальных исследований технических средств;

проектирования, создания систем защиты информации на объектах информатизации, предназначенных для проведения работ с использованием государственных секретов; аттестации объектов информатизации, предназначенных для проведения работ с использованием государственных секретов;

проектирования, создания, аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и(или) предоставление которой ограничено, не отнесенной к государственным секретам;

проектирования, создания, аудита систем информационной безопасности критически важных объектов информатизации.

13.1. разработка, производство, реализация, монтаж, наладка, сервисное обслуживание (либо выборка из указанного перечня работ) технических средств обработки информации в защищенном исполнении, программных средств обработки информации в защищенном исполнении, технических, программных, программно-аппаратных средств защиты информации и контроля ее защищенности, средств криптографической защиты информации (либо выборка из указанного перечня средств)

13.1. разработка, производство, реализация, монтаж, наладка, сервисное обслуживание (либо выборка из указанного перечня работ) технических средств обработки информации в защищенном исполнении, программных средств обработки информации в защищенном исполнении, технических, программных, программно-аппаратных средств защиты информации и контроля ее защищенности, средств криптографической защиты информации (либо выборка из указанного перечня средств)

13.2.проведение испытаний, специальные исследования (либо выборка из указанного перечня работ) технических средств обработки информации, программных средств обработки информации, технических, программных, программно-аппаратных средств защиты информации и контроля ее защищенности, средств криптографической защиты информации (либо выборка из указанного перечня средств) по требованиям безопасности информации

13.2. проведение специальных исследований технических средств;

13.3. проектирование, создание (либо выборка из указанного перечня работ) систем защиты информации на объектах информатизации

13.3. проектирование, создание (либо выборка из указанного перечня работ) систем защиты информации на объектах информатизации, предназначенных для проведения работ с использованием государственных секретов

13.4. проектирование, создание (либо выборка из указанного перечня работ) систем защиты информации информационных систем

13.4. проектирование, создание, аттестация (либо выборка из указанного перечня работ) систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам

13.5. аттестация объектов информатизации

13.5. аттестация объектов информатизации, предназначенных для проведения работ с использованием государственных секретов

13.6. аттестация систем защиты информации информационных систем

13.6. проектирование, создание, аудит (либо выборка из указанного перечня работ) систем информационной безопасности критически важных объектов информатизации

13.7. проведение работ по выявлению специальных технических средств, предназначенных для негласного получения информации

+

13.8. удостоверение формы внешнего представления электронного документа на бумажном носителе

+

13.9. оказание услуг по распространению открытых ключей проверки подписи

13.9. оказание услуг по распространению открытых ключей проверки электронной цифровой подписи