Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите бесплатную демоверсию и консультацию

+7(495) 221-24-31

Постановление Совета министров Республики Беларусь от 26 мая 2009 г. N 675

О некоторых вопросах защиты информации

В соответствии со статьей 28 Закона Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации» Совет Министров Республики Беларусь постановляет:

1. Утвердить прилагаемые:

Положение о порядке защиты информации в государственных информационных системах, а также информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено;

Положение о порядке аттестации систем защиты информации;

Положение о порядке проведения государственной экспертизы средств защиты информации.

2. Настоящее постановление вступает в силу с 27 мая 2009 г.

Премьер-министр
Республики Беларусь
С.Сидорский
УТВЕРЖДЕНО
Постановление
Совета Министров
Республики Беларусь
26.05.2009 № 675

Положение о порядке защиты информации в государственных информационных системах, а также информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено

ГЛАВА 1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящее Положение разработано в соответствии с Законом Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации» (Национальный реестр правовых актов Республики Беларусь, 2008 г., № 279, 2/1552) (далее – Закон) и определяет порядок защиты информации в государственных информационных системах, а также информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено (далее – информационные системы).

2. Для целей настоящего Положения применяются термины и их определения в значениях, установленных Законом.

3. Для защиты информации в информационных системах создается система защиты информации, включающая комплекс организационных и технических мер, направленных на обеспечение конфиденциальности, целостности и доступности информации.

4. При создании систем защиты информации информационных систем должны применяться средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы.

5. При взаимодействии между информационными системами, обрабатывающими информацию, распространение и (или) предоставление которой ограничено, должны применяться средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы.

6. Подключение информационных систем, обрабатывающих информацию, распространение и (или) предоставление которой ограничено, к сетям общего пользования, в том числе к глобальной сети Интернет, запрещается.

7. При подключении информационных систем, в которых обрабатывается общедоступная информация, к сетям общего пользования, в том числе к глобальной сети Интернет, должны применяться средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы.

8. Ответственность за организацию работ по защите информации возлагается на руководителей организаций, которые владеют и (или) пользуются информационными ресурсами информационной системы.

9. Создание и эксплуатация системы защиты информации в информационных системах осуществляются подразделением технической защиты информации или назначенными должностными лицами, ответственными за реализацию технических мер по защите информации у собственника (владельца) информационной системы.

К работам по созданию систем защиты информации собственники (владельцы) информационных систем могут привлекать организации, имеющие соответствующие специальные разрешения (лицензии) Оперативно-аналитического центра при Президенте Республики Беларусь (далее – специализированные организации).

ГЛАВА 2. СОЗДАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

10. Комплекс мероприятий по созданию системы защиты информации в информационных системах включает:

  • классификацию хранящихся и обрабатываемых в информационной системе сведений и разделение информации по категориям доступа;
  • анализ организационной структуры информационной системы, порядка организации вычислительных процессов и условий ее функционирования;
  • присвоение информационной системе класса типового объекта информатизации в соответствии с требованиями технических нормативных правовых актов в области защиты информации;
  • разработку или корректировку политики информационной безопасности;
  • разработку или корректировку задания по безопасности на информационную систему в соответствии с требованиями технических нормативных правовых актов в области защиты информации;
  • реализацию требований задания по безопасности в информационной системе;
  • оценку соответствия системы защиты информации требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов, путем проведения мероприятий по аттестации системы защиты информации;
  • ввод информационной системы в эксплуатацию.

11. Политика информационной безопасности – это совокупность документированных правил, процедур и требований в области защиты информации, действующих в организации и содержащих:

  • цели построения системы защиты информации;
  • перечень защищаемых сведений;
  • определение ответственности субъектов информационных отношений за обеспечение защиты информации;
  • определение прав и порядка доступа к защищаемой информации (субъектам информационных отношений предоставляется объективно необходимый для них уровень доступа к защищаемым сведениям);
  • правила доступа к сетям общего пользования, в том числе глобальной сети Интернет;
  • порядок работы с электронной почтой и другими системами обмена, передачи сообщений;
  • порядок применения технических средств защиты и обработки информации;
  • организационные мероприятия по разграничению доступа к техническим средствам защиты и обработки информации;
  • порядок действий при возникновении угроз обеспечению целостности и конфиденциальности информационных ресурсов, в том числе чрезвычайных и непредотвратимых обстоятельств (непреодолимой силы), и ликвидации их последствий;
  • инструкции для субъектов информационных отношений, регламентирующие порядок доступа к ресурсам информационной системы, установления подлинности субъектов, аудита безопасности, резервирования и уничтожения информации, контроля за целостностью защищаемых сведений, защиты от вредоносного программного обеспечения и вторжений.

12. Задание по безопасности разрабатывается в соответствии с требованиями технических нормативных правовых актов в области защиты информации, оценивается в установленном порядке в аккредитованной испытательной организации (организация, аккредитованная для проведения испытаний систем защиты информации в области защиты информации) и учитывается в Оперативно-аналитическом центре при Президенте Республики Беларусь.

13. Ремонтные, наладочные и профилактические работы в информационных системах должны проводиться под контролем представителя подразделения технической защиты информации или назначенного должностного лица, ответственного за реализацию технических мер по защите информации у собственника (владельца) информационной системы. Во время проведения указанных работ в информационной системе запрещается обработка информации, распространение и (или) предоставление которой ограничено.

В случае необходимости отправки технических средств для проведения ремонта в специализированные организации из них должны быть изъяты все носители информации, содержащие охраняемые сведения, или произведено гарантированное уничтожение информации сертифицированными средствами.

14. При внесении изменений, затрагивающих условия и технологию обработки защищаемой информации, собственником (владельцем) информационной системы проводятся мероприятия по доработке системы защиты информации с проведением повторной ее аттестации.

ГЛАВА 3. ПОРЯДОК КОНТРОЛЯ ЗА ЗАЩИЩЕННОСТЬЮ ИНФОРМАЦИИ

15. Контроль за соблюдением установленных в настоящем Положении требований по защите информации в процессе эксплуатации информационной системы осуществляют уполномоченные государственные органы в соответствии с их компетенцией.

16. Текущий контроль за соблюдением требований по защите информации осуществляется подразделением технической защиты информации или назначенным должностным лицом, ответственным за выполнение мероприятий по технической защите информации у собственника (владельца) информационной системы.

17. Нарушения требований по защите информации устанавливаются и фиксируются в соответствии с законодательством. Собственник (владелец) информационной системы принимает меры по своевременному устранению выявленных нарушений.

18. Запрещается обработка информации, распространение и (или) предоставление которой ограничено, в случае выявления нарушений требований по защите информации.

УТВЕРЖДЕНО
Постановление
Совета Министров
Республики Беларусь
26.05.2009 № 675

Положение о порядке аттестации систем защиты информации

1. Настоящее Положение разработано в соответствии с Законом Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации» (Национальный реестр правовых актов Республики Беларусь, 2008 г., № 279, 2/1552) (далее – Закон) и определяет порядок аттестации систем защиты информации, используемых при обработке информации, распространение и (или) предоставление которой ограничено, а также информации, содержащейся в государственных информационных системах (далее – системы защиты информации).

2. Порядок аттестации систем защиты информации информационных систем, содержащих информацию, отнесенную к государственным секретам, определяется иными законодательными актами.

3. Для целей настоящего Положения применяются термины и их определения в значениях, установленных Законом, а также следующие термины и их определения:

  • аккредитованная испытательная лаборатория по требованиям безопасности информации – организация, аккредитованная для проведения испытаний продукции в области защиты информации;
  • аттестат соответствия – документ установленной формы, подтверждающий выполнение требований нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов;
  • аттестация – комплекс организационно-технических мероприятий, в результате которых подтверждается соответствие системы защиты информации требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов, и оформляется аттестатом соответствия;
  • заявитель – организация, обратившаяся с заявкой на проведение аттестации системы защиты информации;
  • система защиты информации – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, функционирующих по правилам, установленным соответствующими нормативными правовыми актами в области защиты информации, в том числе техническими нормативными правовыми актами.

4. Деятельность по аттестации систем защиты информации координирует Оперативно-аналитический центр при Президенте Республики Беларусь в пределах его полномочий.

5. Аттестацию систем защиты информации проводят организации, имеющие соответствующие специальные разрешения (лицензии) Оперативно-аналитического центра при Президенте Республики Беларусь (далее – специализированные организации).

Владельцы государственных информационных систем, имеющие в своем составе подразделения по технической защите информации (далее – владельцы государственных информационных систем), вправе проводить аттестацию систем защиты информации, используемых при обработке информации, содержащейся в государственных информационных системах, владельцами которых они являются.

6. Аттестация систем защиты информации проводится до ввода информационной системы в эксплуатацию.

7. Наличие аттестата соответствия является основанием для использования системы защиты информации на период времени, установленный в аттестате соответствия.

8. Аттестация предусматривает комплексную оценку системы защиты информации в реальных условиях эксплуатации информационной системы и включает проведение следующих мероприятий:

  • анализ исходных данных по аттестуемой системе защиты информации;
  • разработка программы аттестации;
  • предварительное ознакомление с информационной системой и системой защиты информации;
  • проведение обследования информационной системы и системы защиты информации;

  • анализ разработанной документации по защите информации в информационной системе на соответствие требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов;
  • проведение испытаний средств защиты информации и оценка системы защиты информации в реальных условиях эксплуатации информационной системы;
  • анализ результатов испытаний средств защиты информации, системы защиты информации и принятие решения о выдаче аттестата соответствия;
  • выдача аттестата соответствия.

9. Расходы по проведению аттестации оплачиваются заявителями в соответствии с договором на проведение аттестации, заключенным между заявителем и специализированной организацией.

10. Затраты по аттестации вновь создаваемых или модернизируемых систем защиты информации включаются в общую смету расходов на их разработку (модернизацию).

11. Оперативно-аналитический центр при Президенте Республики Беларусь:

  • участвует в разработке проектов нормативных правовых актов по аттестации систем защиты информации, в том числе технических нормативных правовых актов;
  • осуществляет контроль за выполнением требований нормативных правовых актов по аттестации систем защиты информации, в том числе технических нормативных правовых актов;
  • осуществляет контроль за выполнением мероприятий по защите информации, обрабатываемой с применением аттестованных систем защиты информации;
  • ведет информационную базу аттестованных систем защиты информации.

12. Владельцы государственных информационных систем и специализированные организации выполняют следующие функции:

  • проводят аттестацию системы защиты информации и выдают аттестаты соответствия;
  • привлекают для проведения испытаний аккредитованные испытательные лаборатории по требованиям безопасности информации;
  • информируют Оперативно-аналитический центр при Президенте Республики Беларусь о своей деятельности в области аттестации систем защиты информации.

13. Заявители:

  • проводят подготовку системы защиты информации для аттестации путем реализации организационных и технических мер по защите информации;
  • привлекают на договорной основе специализированные организации для проведения аттестации системы защиты информации;
  • представляют документы и обеспечивают условия, необходимые для проведения аттестации системы защиты информации;
    осуществляют эксплуатацию системы защиты информации;
  • извещают специализированные организации, которые провели аттестацию, обо всех изменениях в информационных технологиях, составе и размещении средств защиты информации, условиях их эксплуатации, которые могут повлиять на эффективность принятых мер по защите информации;
  • представляют документы и условия для осуществления контроля за эксплуатацией системы защиты информации, прошедшей аттестацию.

14. Аттестация проводится на основании заявки, подаваемой заявителем в специализированную организацию по форме согласно приложению 1, и исходных данных согласно приложению 2.

В случае проведения аттестации владельцем государственной информационной системы заявка на проведение аттестации не оформляется. Работы по аттестации проводятся аттестационной комиссией, назначенной приказом руководителя организации – владельца государственной информационной системы.

15. Для проведения аттестации разрабатывается программа аттестации, которая должна содержать перечень работ и их продолжительность, методики испытаний, перечень используемой контрольной аппаратуры и тестовых средств, перечень привлекаемых аккредитованных испытательных лабораторий по требованиям безопасности информации.

16. Специализированная организация в 30-дневный срок рассматривает заявку на проведение аттестации и на основании анализа исходных данных разрабатывает программу аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации.

17. Специализированная организация представляет заявителю решение о проведении аттестации и после согласования программы аттестации высылает проект договора на аттестацию.

18. Оценка системы защиты информации включает:

  • анализ организационной структуры информационной системы, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения системы защиты информации, разработанной документации и ее соответствия требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов;
  • проверку правильности отнесения информационной системы к классу типовых объектов информатизации, выбора и применения средств защиты информации;
  • рассмотрение и анализ результатов испытаний средств защиты информации и системы защиты информации;
  • проверку уровня подготовки кадров и распределения ответственности персонала за организацию и обеспечение выполнения требований по защите информации;
  • оценку системы защиты информации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
  • оформление протоколов испытаний (оценки) и заключения по результатам проверок.

19. По результатам аттестации оформляется аттестат соответствия.

20. Аттестация проводится до полного завершения всех проверок вне зависимости от промежуточных результатов испытаний. Если выявленные недостатки невозможно устранить в течение периода проведения аттестации, принимается решение об отказе в выдаче аттестата соответствия. Повторная аттестация специализированной организацией проводится после заключения отдельного договора на проведение работ по аттестации.

21. Аттестат соответствия подписывается руководителем организации – владельца государственной информационной системы либо руководителем специализированной организации, которая провела аттестацию, и заверяется печатью.

22. Аттестат соответствия на систему защиты информации, отвечающую требованиям по защите информации, выдается по форме согласно приложению 3.

23. Регистрация аттестатов соответствия осуществляется специализированной организацией в целях ведения информационной базы аттестованных систем защиты информации.

24. Сведения об аттестованных системах защиты информации представляются специализированной организацией (владельцем государственной информационной системы) в Оперативно-аналитический центр при Президенте Республики Беларусь не позднее 30 дней со дня выдачи аттестата соответствия.

Аттестат соответствия выдается на период, в течение которого должны обеспечиваться неизменность условий функционирования информационной системы и технологии обработки защищаемой информации, но не более чем на 5 лет.
Владелец аттестованной системы защиты информации несет ответственность за функционирование системы защиты информации в соответствии с законодательством.

В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных систем защиты информации обязаны пройти повторную аттестацию системы защиты информации.

Приложения


Возврат к списку

Ольга Савко

Начальник группы телемаркетинга

Закажите демонстрацию системы
Мы свяжемся с вами, проконсультируем по интересующим вопросам, подготовим персональную демонстрацию в удобное для вас время.

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Календарь мероприятий

26апреля

«Весенний документооборот-2021»: развитие экосистемы ЭОС

Узнать больше

11февраля

Об электронной подписи простым языком: компания ЭОС проведет вебинар для школ

Узнать больше

28января

Новые возможности наглядной визуализации в СЭД «ДЕЛО»

Узнать больше

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ

^