Информационная безопасность

Здесь Вы найдете только нужную информацию.

Приказ ОАЦ от 30 августа 2013 г. №62

В соответствии с подпунктом 9.4 пункта 9 Положения о технической и криптографической защите информации в Республике Беларусь, утвержденного Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации» и частью четвертой статьи 28 Закона Республики
Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации»,


ПРИКАЗЫВАЮ:
1. Утвердить прилагаемые:
Положение о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;

Положение о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации;

Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам.
2. Настоящий приказ вступает в силу с 19 октября 2013 г.

Первый заместитель начальника                          В.А.Рябоволов

 

ПОЛОЖЕНИЕ
о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной      к государственным секретам


ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ


В настоящем Положении, разработанном в соответствии с подпунктом 9.4 пункта 9 Положения о технической и криптографической защите информации в Республике Беларусь, утвержденного Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации», устанавливается порядок технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам (далее – информационные системы).
2. Для целей настоящего Положения применяются термины и их определения в значениях, определенных Законом Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации», Положением о технической и криптографической защите информации в Республике Беларусь, техническими нормативными правовыми актами, а также следующий термин и его определение:
политика информационной безопасности организации – общие намерения и направления деятельности по обеспечению конфиденциальности, целостности, подлинности, доступности и сохранности информации, официально сформулированные собственником (владельцем) информационной системы.
3. Для защиты информации в информационной системе создается система защиты информации, включающая комплекс правовых, организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации.
4. При осуществлении технической защиты информации используются средства технической защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы, проводимой Оперативно-аналитическим центром при Президенте Республики Беларусь (далее – ОАЦ).
5. Работы по технической защите информации у собственника (владельца) информационной системы могут выполняться:
подразделением технической защиты информации или иными подразделениями (должностными лицами), выполняющими функции по технической защите информации (далее – подразделение технической защиты информации);
организациями, имеющими специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ и услуг (далее – специализированные организации).
6. Комплекс мероприятий по технической защите информации, подлежащей обработке
в информационной системе, включает:
проектирование системы защиты информации;
создание системы защиты информации;
аттестацию системы защиты информации в соответствии с Положением о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, утвержденным приказом, утверждающим настоящее Положение;
обеспечение функционирования системы защиты информации в процессе эксплуатации
информационной системы;
обеспечение защиты информации в случае прекращения эксплуатации информационной системы

ГЛАВА 2
ПРОЕКТИРОВАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ


7. На этапе проектирования системы защиты информации осуществляются:
классификация информации, хранящейся и обрабатываемой в информационной
системе, в соответствии с законодательством;
анализ структуры информационной системы и информационных потоков в целях определения состава (количества) и мест размещения элементов системы (аппаратных и программных), ее физических и логических границ;
отнесение информационной системы к классу типовых информационных систем в порядке, установленном СТБ 34.101.30-2017 «Информационные технологии. Методы и средства безопасности. Информационные системы. Классификац на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности
информации, включая требования согласно приложению 1. Задание по безопасности подлежит оценке в аккредитованной испытательной лаборатории (центре). Собственник (владелец) информационной системы не позднее 30 календарных дней со дня получения из аккредитованной испытательной лаборатории (центра) протокола оценки задания по безопасности, свидетельствующего о положительных результатах оценки, представляет копию этого задания в ОАЦ.
9. Для организации технической защиты информации в нескольких информационных системах, функционирующих в общей программно-технической среде и принадлежащих одному собственнику (владельцу), может создаваться единая система защиты информации взаимодействующих информационных систем.


ГЛАВА 3
СОЗДАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ


10. На этапе создания системы защиты информации осуществляются:
разработка политики информационной безопасности организации;
разработка локальных нормативных правовых актов, направленных на реализацию политики информационной безопасности организации, в соответствии с требованиями, изложенными в задании по безопасности или частном техническом задании;
внедрение средств технической защиты информации, необходимых для реализации требований, изложенных в задании по безопасности или частном техническом задании, проверка работоспособности и совместимости этих средств;
реализация организационных мер по защите информации в соответствии с требованиями политики информационной безопасности организации;
опытная эксплуатация системы защиты информации.
11. Политика информационной безопасности организации должна содержать:
цели создания системы защиты информации;
права и обязанности субъектов информационной системы;
порядок взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия).
12. Локальные нормативные правовые акты, направленные на реализацию политики
информационной безопасности организации, должны содержать:
перечень средств вычислительной техники, сетевого оборудования, системного и прикладного программного обеспечения, средств технической защиты информации (далее – объекты информационной системы) и субъектов информационной системы, сведения о месте их размещения и порядке информационного взаимодействия субъектов информационной системы с объектами этой системы и объектов между собой;
способы разграничения доступа субъектов к объектам информационной системы;
перечень организационных мер, направленных на реализацию требований по созданию системы защиты информации;
порядок действий при возникновении угроз обеспечения конфиденциальности, целостности, доступности, подлинности и сохранности информации, в том числе чрезвычайных и непредотвратимых обстоятельств непреодолимой силы), и при ликвидации их последствий;
порядок резервирования и уничтожения информации;
порядок защиты от вредоносного программного обеспечения;
порядок выявления угроз, которые могут привести к сбоям, нарушению функционирования информационной системы;
порядок осуществления контроля (мониторинга) за функционированием информационной системы.
13. В ходе внедрения средств технической защиты информации осуществляется их монтаж и наладка в соответствии с эксплуатационной документацией, а также смена реквизитов доступа к функциям управления и настройкам, установленным по умолчанию, либо блокировка учетных записей, не предусматривающих смену указанных реквизитов. При проверке работоспособности и совместимости планируемых к использованию средств технической защиты информации осуществляется проверка корректности выполнения такими средствами требований безопасности в реальных условиях эксплуатации и во взаимодействии с элементами информационной системы.
14. Реализация организационных мер защиты информации осуществляется в целях выполнения требований, изложенных в локальных нормативных правовых актах собственника (владельца) информационной системы, которые доводятся до сведения субъектов информационной системы под роспись.
15. Опытная эксплуатация системы защиты информации осуществляется для проверки ее работоспособности в различных режимах функционирования информационной системы, втом числе при необходимости в условиях нештатной ситуации.

ГЛАВА 4
ОСОБЕННОСТИ ЭКСПЛУАТАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ
С ПРИМЕНЕНИЕМ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

16. В процессе эксплуатации информационной системы с применением аттестованной в установленном порядке системы защиты информации осуществляются:
контроль за соблюдением требований, установленных в нормативных правовых актах, в том числе в технических нормативных правовых актах, локальных нормативных правовых актах собственника (владельца) информационной системы;
контроль за порядком использования объектов информационной системы;
мониторинг функционирования системы защиты информации;
выявление угроз, которые могут привести к сбоям, нарушению функционирования
информационной системы;
резервное копирование информации, содержащейся в информационной системе;
обучение (повышение квалификации) субъектов информационной системы.
17. Собственники (владельцы) информационных систем в соответствии с их локальными нормативными правовыми актами выявляют и фиксируют нарушения требований по защите информации, принимают меры по своевременному устранению таких нарушений.
В случае невозможности устранения выявленных нарушений в течение пяти рабочих дней с момента их выявления собственники (владельцы) информационных систем обязаны:
прекратить обработку информации, распространение и (или) предоставление которой ограничено, и письменно информировать ОАЦ о данных нарушениях;
осуществить доработку системы защиты информации информационной системы и провести оценку на предмет необходимости ее повторной аттестации.
Собственники (владельцы) информационных систем в произвольной форме информируют ОАЦ о прекращении или нарушении функционирования информационной системы, нарушении конфиденциальности, целостности, подлинности, доступности либо сохранности информации в течение суток с момента выявления этих событий.
18. Наладочные работы и сервисное обслуживание информационной системы проводятся с участием подразделения технической защиты информации.
19. Модернизация действующих систем защиты информации осуществляется в порядке, установленном настоящим Положением для проектирования и создания этих систем.
20. В случае прекращения эксплуатации информационной системы собственник (владелец) информационной системы в соответствии с его локальными нормативными правовыми актами принимает меры по:
защите информации, содержавшейся в информационной системе;
резервному копированию информации (при необходимости), обеспечению ее конфиденциальности и целостности;
уничтожению (удалению) данных с машинных носителей информации и (или) уничтожению таких носителей информации.

 

Приложение 1

 

ПЕРЕЧЕНЬ ТРЕБОВАНИЙ К СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ, ПОДЛЕЖАЩИХ ВКЛЮЧЕНИЮ

В ЧАСТНОЕ ТЕХНИЧЕСКОЕ ЗАДАНИЕ ИЛИ ЗАДАНИЕ ПО БЕЗОПАСНОСТИ НА ИНФОРМАЦИОННУЮ СИСТЕМУ

 

 

Наименование требований

Условие об обязательности выполнения требований в соответствии с классом типовой информационной системы

4-фл

4-юл

4-дсп

3-фл

3-юл

3-дсп

1

Требования по обеспечению аудита безопасности

 

 

 

 

 

 

1.1

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации (идентификация и аутентификация пользователей, нарушения прав доступа пользователей, выявленные нарушения информационной безопасности и др.)

+

+

+

+

+

+

1.2

Обеспечение сбора, записи и хранения информации о событиях безопасности в течение установленного срока хранения, но не менее шести месяцев

+

+

+

+

+

+

1.3

Осуществление мониторинга (просмотра, анализа) событий безопасности уполномоченными субъектами информационной системы

+

+

+

+

+

+

1.4

Обеспечение мониторинга (просмотра, анализа) информации о сбоях в механизмах сбора информации и о достижении предела объема (емкости) памяти устройств хранения уполномоченными пользователями

+

+

+

+

+

+

2

Требования по обеспечению защиты данных

 

 

 

 

 

 

2.1

Обеспечение полномочного управления (создание, активация, блокировка и уничтожение) учетными записями субъектов информационной системы

+

+

+

+

+

+

2.2

Реализация правил разграничения доступа субъектов информационной системы к объектам информационной системы (средства вычислительной техники, сетевое оборудование, системное и прикладное программное обеспечение, средства защиты информации) (далее - объекты)

+

+

+

+

+

+

2.3

Обеспечение управления информационными потоками (маршрутизация) между информационными системами

+

+

+

+

+

+

2.4

Обеспечение ограничений входящего и исходящего трафика (фильтрация) только необходимыми соединениями

-

-

+

+

+

+

2.5

Обеспечение безопасного взаимодействия с иными информационными системами, контроль за таким взаимодействием и управление подключением

+

+

+

+

+

+

2.6

Обеспечение регламентации порядка использования в информационной системе мобильных технических средств и контроля за таким использованием

-

-

+

+

+

+

2.7

Исключение возможности отрицания пользователем факта отправки информации другому пользователю, а также получения информации от другого пользователя

-

-

+

-

-

+

2.8

Определение порядка использования съемных носителей информации

+

+

+

+

+

+

2.9

Обеспечение уничтожения (удаления) данных с машинных носителей информации при их передаче лицам, не являющимся субъектами информационной системы, в том числе для ремонта, технического обслуживания

+

+

+

+

+

+

2.10

Обеспечение защиты архивных файлов, параметров настройки средств защиты информации, программного обеспечения

+

+

+

+

+

+

2.11

Обеспечение криптографической защиты информации, обрабатываемой в информационной системе и (или) передаваемой за пределы такой системы, в соответствии с требованиями, изложенными в Положении о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации

-

-

-

+

+

+

3

Требования по обеспечению идентификации и аутентификации

 

 

 

 

 

 

3.1

Обеспечение идентификации объектов и закрепления за ними субъектов информационной системы

+

+

+

+

+

+

3.2

Обеспечение идентификации и аутентификации субъектов информационной системы

+

+

+

+

+

+

3.3

Обеспечение управления средствами аутентификации, в том числе хранением, выдачей, инициализацией, блокированием средств аутентификации и принятием мер в случае утраты и (или) компрометации средств аутентификации

+

+

+

+

+

+

3.4

Обеспечение защиты обратной связи при вводе аутентификационной информации

+

+

+

+

+

+

3.5

Обеспечение определения прав и обязанностей субъектов информационной системы

+

+

+

+

+

+

3.6

Обеспечение контроля за соблюдением правил генерации и смены паролей субъектов информационной системы

+

+

+

+

+

+

3.7

Обеспечение защиты от подбора реквизитов доступа

+

+

+

+

+

+

3.8

Определение действий субъектов информационной системы, которые могут совершаться такими субъектами до их идентификации и аутентификации

+

+

+

+

+

+

3.9

Обеспечение блокировки доступа к информационной системе после истечения установленного времени бездействия (неактивности) субъекта информационной системы или по его запросу

+

+

+

+

+

+

4

Требования по обеспечению защиты системы защиты информации информационной системы

 

 

 

 

 

 

4.1

Обеспечение изменения атрибутов безопасности, установленных по умолчанию в соответствии с политикой информационной безопасности организации

+

+

+

+

+

+

4.2

Обеспечение синхронизации временных меток и (или) системного времени в информационной системе и системе защиты информации

+

+

+

+

+

+

4.3

Обеспечение защиты информации о событиях безопасности

-

-

+

+

+

+

4.4

Обеспечение контроля за установкой обновлений программного обеспечения средств защиты информации

+

+

+

+

+

+

4.5

Обеспечение контроля за составом средств защиты информации

+

+

+

+

+

+

4.6

Обеспечение контроля и управления физическим доступом в помещения, в которых постоянно размещаются объекты информационной системы

+

+

+

+

+

+

4.7

Обеспечение защиты информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы

-

-

-

+

+

+

4.8

Регламентирование порядка доступа к настройкам средств защиты информации и контроль за таким доступом

+

+

+

+

+

+

4.9

Обеспечение разделения в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации

-

-

+

+

+

+

5

Требования по обеспечению защищенного канала передачи данных

 

 

 

 

 

 

5.1

Обеспечение сетевых соединений от подмены сетевых устройств

-

-

-

+

+

+

5.2

Обеспечение защищенного канала между рабочими местами субъектов информационной системы и объектами, на которых данные уполномоченные субъекты осуществляют администрирование, мониторинг, а также иные определенные в соответствии с правами и обязанностями функции

+

+

+

+

+

+

6

Требования по обеспечению защиты информации в виртуальной инфраструктуре

 

 

 

 

 

 

6.1

Обеспечение синхронизации временных меток и (или) системного времени виртуальной инфраструктуры и иных компонентов информационной системы

+

+

+

+

+

+

6.2

Обеспечение идентификации и аутентификации субъектов информационной системы и объектов в виртуальной инфраструктуре

+

+

+

+

+

+

6.3

Обеспечение регистрации событий безопасности в виртуальной инфраструктуре

+

+

+

+

+

+

6.4

Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями услуг

-

-

+

+

+

+

6.5

Обеспечение защиты виртуальной инфраструктуры от несанкционированного доступа и сетевых атак из виртуальной и физической сети, а также виртуальных машин

-

-

+

+

-

+

6.6

Обеспечение безопасного перемещения виртуальных машин и обрабатываемых на них данных

-

-

+

+

-

+

6.7

Обеспечение защиты архивных файлов, параметров настройки средств защиты информации и программного обеспечения управления виртуальной инфраструктурой

-

-

+

+

-

+

6.8

Обеспечение резервного копирования данных, резервирования технических средств

-

-

+

+

-

+

6.9

Обеспечение защиты от вредоносного программного обеспечения в виртуальной инфраструктуре

+

+

+

+

+

+

6.10

Физическая изоляция сегмента виртуальной инфраструктуры (системы хранения и обработки данных), предназначенного для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам

-

+

+

-

+

+

7

Иные требования

 

 

 

 

 

 

7.1

Наличие схемы информационной системы с указанием объектов, внешних подключений и информационных потоков

+

+

+

+

+

+

7.2

Наличие регламента для организации подключений к иным информационным системам

+

+

+

+

+

+

7.3

Определение перечня разрешенного программного обеспечения и регламентация порядка его установки и использования

-

-

-

+

+

+

7.4

Обеспечение защиты от вредоносного программного обеспечения

+

+

+

+

+

+

7.5

Обеспечение обновления базы данных признаков вредоносного программного обеспечения

+

+

+

+

+

+

7.6

Обеспечение функционирования подсистемы обнаружения вторжений

-

-

-

-

+

+

7.7

Обеспечение обновления базы сигнатур подсистемы обнаружения вторжений

-

-

-

-

+

+

7.8

Обеспечение контроля за установкой обновлений программного обеспечения

+

+

+

+

+

+

7.9

Обеспечение контроля за работоспособностью, параметрами настройки и правильностью функционирования средств защиты информации

+

+

+

+

+

+

7.10

Обеспечение контроля за составом технических средств информационной системы

+

+

+

+

+

+

7.11

Обеспечение резервирования информации и программного обеспечения

-

-

+

-

-

+

Примечания:

Обозначения "3-фл", "3-юл", "3-дсп", "4-фл", "4-юл", "4-дсп" соответствуют классам типовых информационных систем.

Требования, отмеченные знаком "+", являются обязательными, исключение которых из частного технического задания или задания по безопасности допустимо только в случаях отсутствия в информационной системе соответствующего объекта либо технологии.

Требования, отмеченные знаком "-", являются необязательными.

 

Приложение 2

ТРЕБОВАНИЯ К ОРГАНИЗАЦИИ ВЗАИМОДЕЙСТВИЯ ИНФОРМАЦИОННЫХ СИСТЕМ

 

 

6-частн/6-гос

5-частн/5-гос

4-фл/4-юл/4-дсп

3-фл/3-юл /3-дсп

4-фл

х

не допускается

х

не допускается

4-юл

х

не допускается

х

не допускается

4-дсп

х

не допускается

х

не допускается

3-фл

не допускается

х/о

не допускается

х/о

3-юл

не допускается

х/о

не допускается

х/о

3-дсп

не допускается

х/о

не допускается

х/о

 

Примечания:

1. Обозначения "3-фл", "3-юл", "3-дсп", "4-фл", "4-юл", "4-дсп", "5-частн", "5-гос", "6-частн", "6-гос" соответствуют классам типовых информационных систем.

2. Под символом "х" понимается физически выделенный канал передачи данных.

3. Под символом "о" понимается наличие подключения к сетям электросвязи общего пользования (в том числе к глобальной компьютерной сети Интернет).

 

ПОЛОЖЕНИЕ
О ПОРЯДКЕ АТТЕСТАЦИИ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ, ПРЕДНАЗНАЧЕННЫХ ДЛЯ ОБРАБОТКИ ИНФОРМАЦИИ, РАСПРОСТРАНЕНИЕ И (ИЛИ) ПРЕДОСТАВЛЕНИЕ КОТОРОЙ ОГРАНИЧЕНО, НЕ ОТНЕСЕННОЙ К ГОСУДАРСТВЕННЫМ СЕКРЕТАМ

1. В настоящем Положении, разработанном в соответствии с подпунктом 9.4 пункта 9 Положения о технической и криптографической защите информации в Республике Беларусь, утвержденного Указом Президента Республики Беларусь от 16 апреля 2013 г. N 196 "О некоторых мерах по совершенствованию защиты информации", и частью четвертой статьи 28 Закона Республики Беларусь от 10 ноября 2008 года "Об информации, информатизации и защите информации", устанавливается порядок аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам (далее - информационные системы).
2. Для целей настоящего Положения применяются термины и их определения в значениях, определенных Законом Республики Беларусь "Об информации, информатизации и защите информации", Положением о технической и криптографической защите информации в Республике Беларусь, техническими нормативными правовыми актами, а также следующие термины и их определения:
аттестат соответствия системы защиты информации информационной системы требованиям по защите информации (далее - аттестат соответствия) - документ установленной формы, подтверждающий выполнение требований законодательства об информации, информатизации и защите информации, в том числе технических нормативных правовых актов;
аттестация системы защиты информации информационной системы (далее - аттестация) - комплекс организационно-технических мероприятий, в результате которых документально подтверждается соответствие системы защиты информации информационной системы требованиям законодательства об информации, информатизации и защите информации;
заявитель - собственник (владелец) информационной системы или иное уполномоченное им лицо, обратившееся с заявкой на проведение аттестации;
технология обработки защищаемой информации - упорядоченная совокупность возможностей объектов информационной системы, направленная на выполнение системой своих функций.
3. Аттестация проводится организациями, имеющими специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ и услуг (далее - специализированные организации).
Собственники (владельцы) информационных систем, имеющие в своем составе подразделения технической защиты информации или иные подразделения (должностных лиц), выполняющие функции по технической и (или) криптографической защите информации, вправе самостоятельно проводить аттестацию систем защиты информации этих информационных систем.
4. При проведении аттестации собственником (владельцем) информационной системы самостоятельно работы по аттестации выполняются аттестационной комиссией, назначенной решением (приказом, иным документом) руководителя собственника (владельца) информационной системы.
Аттестация специализированными организациями проводится на основании заявки на проведение аттестации системы защиты информации по форме согласно приложению 1 и исходных данных по аттестуемой системе защиты информации согласно приложению 2 (далее - исходные данные). При этом расходы по проведению аттестации оплачиваются заявителем в соответствии с договором на проведение аттестации, заключенным между заявителем и специализированной организацией.
5. Аттестация проводится в случаях:
создания системы защиты информации информационной системы;
истечения срока действия аттестата соответствия;
изменения технологии обработки защищаемой информации и (или) совокупности технических и организационных мер, реализованных при создании системы защиты информации информационной системы.
6. Аттестация вновь создаваемой системы защиты информации осуществляется до ввода информационной системы в эксплуатацию.
7. Наличие аттестата соответствия является обязательным условием для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, в течение установленного в нем срока.
8. Аттестация предусматривает комплексную оценку системы защиты информации в реальных условиях эксплуатации информационной системы и включает проведение следующих мероприятий:
анализ исходных данных;
предварительное ознакомление с информационной системой и системой защиты информации;
разработку программы и методики аттестации;
проведение обследования информационной системы и системы защиты информации;
проверку правильности отнесения информационной системы к классу типовых информационных систем, выбора и применения средств защиты информации;
анализ состава и структуры комплекса технических средств и программного обеспечения информационной системы, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения системы защиты информации;
анализ разработанной документации и локальных нормативных правовых актов собственника (владельца) информационной системы на предмет их соответствия требованиям законодательства об информации, информатизации и защите информации, в том числе техническим нормативным правовым актам;
закрепление ответственности персонала за организацию и обеспечение выполнения требований по защите информации;
проведение испытаний системы защиты информации на предмет выполнения установленных требований безопасности и корректности функционирования данной системы;
проверку отсутствия либо невозможности использования нарушителем свойств программного обеспечения и (или) технических средств информационной системы (в том числе средств защиты информации), которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы и сведения о которых подтверждены производителями (разработчиками) этого программного обеспечения и технических средств;
оформление технического отчета и протокола испытаний;
оформление аттестата соответствия.
При аттестации информационных систем, имеющих подключение к сетям электросвязи общего пользования (в том числе к глобальной компьютерной сети Интернет), проведение мероприятий, предусмотренных абзацами десятым и одиннадцатым части первой настоящего пункта, осуществляется с использованием средства контроля эффективности защищенности информации.
Допускается выполнение мероприятий, предусмотренных частью первой настоящего пункта, на выделенном наборе сегментов информационной системы, реализующих полную технологию обработки защищаемой информации.
9. Программа и методика аттестации разрабатываются на основании исходных данных и должны содержать перечень выполняемых работ, продолжительность их выполнения, перечень методов проверки требований безопасности, реализованных в системе защиты информации, а также перечень используемой контрольной аппаратуры и тестовых средств.
Программа и методика аттестации разрабатываются:
аттестационной комиссией, назначенной решением (приказом, иным документом) руководителя собственника (владельца) информационной системы, - при проведении аттестации собственником (владельцем) информационной системы самостоятельно;
специализированной организацией - при проведении аттестации такой организацией. В данном случае специализированная организация согласовывает разработанные программу и методику аттестации с заявителем.
10. Срок проведения аттестации:
определяется руководителем собственника (владельца) информационной системы - при проведении аттестации собственником (владельцем) информационной системы самостоятельно;
не может превышать 90 календарных дней - при проведении аттестации специализированной организацией. В случае выявления в процессе проведения аттестации недостатков специализированная организация не позднее чем за 35 календарных дней до истечения срока проведения аттестации направляет заявителю соответствующее уведомление. Заявителем должны быть устранены недостатки, выявленные указанной организацией, в течение 30 календарных дней со дня получения уведомления. При невозможности устранения заявителем выявленных недостатков в указанный срок специализированная организация отказывает в выдаче аттестата соответствия. После устранения недостатков заявитель вправе повторно обратиться за проведением аттестации в порядке, установленном настоящим Положением.
11. Аттестат соответствия оформляется по форме согласно приложению 3 и подписывается:
руководителем собственника (владельца) информационной системы - при проведении аттестации собственником (владельцем) информационной системы самостоятельно;
руководителем специализированной организации - при проведении аттестации специализированной организацией.
Аттестат соответствия оформляется сроком на 5 лет.
12. Собственники (владельцы) информационных систем не позднее 10 календарных дней со дня оформления (получения) аттестата соответствия представляют в Оперативно-аналитический центр при Президенте Республики Беларусь копии этого аттестата, технического отчета и протоколов испытаний, а также иные сведения по форме согласно приложению 2 к Положению о порядке предоставления в Оперативно-аналитический центр при Президенте Республики Беларусь сведений о состоянии технической защиты информации, утвержденному приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 29 июля 2013 г. N 49.

 

Приложение 2

 

ПЕРЕЧЕНЬ
ИСХОДНЫХ ДАННЫХ, ПРЕДСТАВЛЯЕМЫХ ЗАЯВИТЕЛЕМ ПО АТТЕСТУЕМОЙ СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ

1. Наименование информационной системы, ее назначение.
2. Документ, подтверждающий наличие у собственника (владельца) информационной системы подразделения технической защиты информации или иного подразделения (должностного лица), выполняющего функции по технической и (или) криптографической защите информации.
3. Описание информационной системы, включающее общую функциональную схему, физические и логические границы, информационные потоки и протоколы обмена защищаемой информацией, а также места размещения элементов системы (аппаратных и программных) и средств защиты информации.
4. Документ, устанавливающий отнесение информационной системы к классу типовых информационных систем в порядке, установленном СТБ 34.101.30-2017 "Информационные технологии. Методы и средства безопасности. Информационные системы. Классификация".
5. Задание по безопасности или частное техническое задание на систему защиты информации.
6. Политика информационной безопасности организации.
7. Локальные нормативные правовые акты, направленные на реализацию политики информационной безопасности организации.
8. Копии сертификатов соответствия либо экспертных заключений на средства защиты информации.
9. Основные характеристики инженерно-физических средств защиты, технических средств и систем охраны информационной системы, в том числе помещений, в которых обрабатывается защищаемая информация и хранятся носители информации.

 

 

Приложение 3

Форма

АТТЕСТАТ СООТВЕТСТВИЯ
системы защиты информации информационной системы
требованиям по защите информации
N ________ от __ ________ 20__ г.
___________________________________________________________________________
(наименование информационной системы)
Действителен до __ ________ 20__ г.

Настоящим аттестатом соответствия удостоверяется, что система защиты информации ___________________________________________________________________________________________________
(наименование информационной системы)
класса ______________________________ соответствует требованиям по защите (по СТБ 34.101.30-2017)
информации, предусмотренным приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 30 августа 2013 г. N 62 "О некоторых вопросах технической и криптографической защиты информации" (Национальный правовой Интернет-портал Республики Беларусь, 10.09.2013, 7/2561), и ________________________
___________________________________________________________________________________________________.
(наименование документов)
Аттестация выполнена в соответствии с программой, утвержденной __ ___________ 20__ г., и методикой, утвержденной __ ______________ 20__ г.


Результаты испытаний (оценки) приведены в протоколе от __ ______ 20__г., утвержденном ___________________________________________.
В информационной системе разрешается обработка информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам.
При эксплуатации информационной системы запрещается:
__________________________________________________________________________.
Аттестат соответствия действителен при обеспечении неизменности технологии обработки защищаемой информации и совокупности технических и организационных мер, реализованных при создании системы защиты информации
информационной системы.

Руководитель организации
_______________________              ____________            ____________ 20__ г.