Информационная безопасность

Здесь Вы найдете только нужную информацию.

Новые требования к СЗИ и КВОИ

   Сегодня был опубликован Приказ ОАЦ № 66 «О мерах по реализации Указа Президента РБ № 449». Ожидая этого события, я вновь пересмотрел проект 62 Приказа, который рассылался для обсуждения, и готовился написать статью об отличиях новой и старой редакций. Но оказалась, что 62 Приказа больше нет (точнее сказать, что он завершает свой путь).

   Все дело в том, что 66 Приказ признал утратившими силу приказы, касающиеся системы защиты информации 62 и 49, а также КВОИ 151, 42 и 96. Вместо них утверждены следующие положения:

О порядке технической и криптографической защиты информации в ИС, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено.

О порядке аттестации систем защиты информации в ИС, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено.

О порядке технической и криптографической защиты информации, обрабатываемой на КВОИ.

О порядке предоставления в ОАЦ сведений о событиях информационной безопасности, состоянии технической и криптографической защиты информации.

О порядке ведения Государственного реестра КВОИ.

   Кроме того, 66 Приказ утвердил форму заключения о соответствии объекта информатизации критериям, утвержденным Приказом 65, которому посвящена отдельная статья.

   Хорошей новостью является то, что вновь предусмотрены случаи, когда организации создавшие или уже приступившие к созданию СЗИ будут иметь возможность пользоваться требованиями, изложенными в 62 Приказе до окончания периода действия аттестата соответствия (то есть еще 5 лет).

   Для владельцев КВОИ предусмотрен другой порядок – они обязаны в шестимесячный срок привести системы безопасности КВОИ в соответствие данному Приказу.

   Интересным новшеством является обязанность владельцев предоставлять сведения о технической и криптографической защите информации по средствам ОАИС. Данное требование будет обязательным с 1 января 2022 года.

   Что касается положений о порядке технической и криптографической защиты и порядке аттестации СЗИ, то в целом следует отметить, что их структура осталась прежней. Вместе с тем есть ряд значимых изменений.

Во-первых, вместо ЗБ теперь разрабатывается техническое задание.

Во-вторых, допустимо не включать в ТЗ обязательные требования, при условии согласования с ОАЦ закрепления в таком ТЗ обоснованных компенсирующих мер.

Во-третьих, официально закреплена возможность использовать функции защиты информации, реализованные в СЗИ облачного провайдера.

   Что касается КВОИ, то я намерен обновить содержание соответствующей статьи, расположенной на этом сайте.