Право
Загрузить Adobe Flash Player
Навигация
Новые документы

Реклама

Законодательство России

Долой пост президента Беларуси

Ресурсы в тему
ПОИСК ДОКУМЕНТОВ

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 25.05.2012 № 46 "О некоторых мерах по реализации Указа Президента Республики Беларусь от 8 ноября 2011 г. № 515"

Текст документа с изменениями и дополнениями по состоянию на ноябрь 2013 года

< Главная страница

Зарегистрировано в НРПА РБ 1 июня 2012 г. N 7/2045



В соответствии с пунктом 3 Указа Президента Республики Беларусь от 8 ноября 2011 г. N 515 "О некоторых вопросах развития информационного общества в Республике Беларусь" ПРИКАЗЫВАЮ:

1. Утвердить прилагаемое Положение о порядке организации криптографической защиты информации в государственных информационных системах, а также в информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено (далее - Положение).

2. Установить, что с 1 января 2013 г.:

реализация государственным организациям средств криптографической защиты информации (далее - СКЗИ) для использования в системах защиты информации государственных информационных систем, информационных систем, содержащих информацию, распространение и (или) предоставление которой ограничено (далее - информационные системы), и критически важных объектов информатизации (далее - КВОИ), а также монтаж и наладка СКЗИ в этих информационных системах и на КВОИ осуществляются только при наличии сертификата соответствия, выданного в Национальной системе подтверждения соответствия Республики Беларусь, или положительного экспертного заключения по результатам государственной экспертизы на соответствие техническим нормативным правовым актам и документам согласно приложению к Положению;

собственники (владельцы) информационных систем, в системах защиты информации которых используются СКЗИ, не имеющие сертификата соответствия, указанного в абзаце втором настоящего пункта, осуществляют поэтапную модернизацию данных СКЗИ или их замену СКЗИ, соответствующими требованиям пункта 11 Положения;

применение СКЗИ в системах защиты информации информационных систем, относящихся к объектам информатизации класса А2 или Б2, осуществляется с учетом выполнения организационных и технических мер, предусмотренных в пункте 13 Положения.

3. Контроль за выполнением настоящего приказа возложить на заместителя начальника Оперативно-аналитического центра при Президенте Республики Беларусь - начальника управления защиты информации.

4. Признать утратившими силу:

приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 3 марта 2011 г. N 18 "Об утверждении Положения о порядке применения средств криптографической защиты информации в системах защиты информации" (Национальный реестр правовых актов Республики Беларусь, 2011 г., N 32, 7/1433);

приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 12 сентября 2011 г. N 68 "О некоторых вопросах применения средств криптографической защиты информации в системах защиты информации" (Национальный реестр правовых актов Республики Беларусь, 2011 г., N 104, 7/1588).

5. Настоящий приказ вступает в силу после его официального опубликования.



Начальник С.В.Шпегун



                                                  УТВЕРЖДЕНО
                                                  Приказ
                                                  Оперативно-аналитического
                                                  центра при Президенте
                                                  Республики Беларусь
                                                  25.05.2012 N 46


1. Настоящее Положение определяет порядок организации криптографической защиты информации (далее - КЗИ) в государственных информационных системах, в информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено (далее - информационные системы), а также критически важных объектах информатизации (далее - КВОИ).

2. Порядок организации КЗИ в информационных системах, содержащих информацию, отнесенную к государственным секретам, определяется иными нормативными правовыми актами.

3. Для целей настоящего Положения применяются термины и их определения в значениях, установленных Законом Республики Беларусь от 10 ноября 2008 года "Об информации, информатизации и защите информации" (Национальный реестр правовых актов Республики Беларусь, 2008 г., N 279, 2/1552), Указом Президента Республики Беларусь от 25 октября 2011 г. N 486 "О некоторых мерах по обеспечению безопасности критически важных объектов информатизации" (Национальный реестр правовых актов Республики Беларусь, 2011 г., N 121, 1/13026), постановлением Совета Министров Республики Беларусь от 26 мая 2009 г. N 675 "О некоторых вопросах защиты информации" (Национальный реестр правовых актов Республики Беларусь, 2009 г., N 136, 5/29837), техническими нормативными правовыми актами в области защиты информации (далее - ТНПА).

4. Криптографическая защита применяется для обеспечения конфиденциальности, контроля целостности (неизменности) и подлинности информации в информационных системах и КВОИ. КЗИ осуществляется путем применения средств криптографической защиты информации (далее - СКЗИ), в том числе средств управления криптографическими ключами, а также комплекса организационных мер.

5. Координация деятельности по применению СКЗИ в информационных системах осуществляется Оперативно-аналитическим центром при Президенте Республики Беларусь (далее - ОАЦ) в пределах предоставленных ему полномочий.

6. Решение о КЗИ принимается собственником (владельцем) информационной системы при реализации комплекса мероприятий по созданию системы защиты информации в информационной системе на этапе разработки или корректировки политики информационной безопасности и задания по безопасности на данную систему. В случае необходимости решения задач обеспечения конфиденциальности, контроля целостности (неизменности) и подлинности информации на КВОИ применение КЗИ обязательно.

К указанным работам собственники (владельцы) информационных систем могут привлекать организации, имеющие специальные разрешения (лицензии) на деятельность по технической защите информации, в том числе криптографическими методами, включая применение электронной цифровой подписи, в части составляющих данный вид деятельности работ по разработке СКЗИ.

7. Задание по безопасности должно включать функциональные требования к криптографическим операциям, выполняемым СКЗИ, управлению криптографическими ключами данных СКЗИ, а также комплексу средств обеспечения безопасности СКЗИ.

8. СКЗИ должны выполнять криптографические операции в соответствии с заданными криптографическими алгоритмами и длинами криптографических ключей, которые удовлетворяют требованиям ТНПА и документов согласно приложению, или, при их отсутствии, быть рекомендованы ОАЦ.

9. Для каждой криптографической операции, реализованной в СКЗИ, в задании по безопасности должны быть определены требования по управлению криптографическими ключами, включающие требования по их генерации, распределению, хранению, доступу к ним и их уничтожению. Средства управления криптографическими ключами должны реализовывать алгоритмы генерации криптографических ключей, методы распределения, доступа, хранения и уничтожения криптографических ключей в соответствии с ТНПА и документами согласно приложению или, при их отсутствии, быть рекомендованы ОАЦ. На всех этапах жизненного цикла криптографических ключей должна быть обеспечена их защита от несанкционированного доступа.

Вопросы управления криптографическими ключами СКЗИ должны быть изложены в задании по безопасности.

10. Комплекс средств обеспечения безопасности СКЗИ должен обеспечивать решение следующих задач:

защита СКЗИ от несанкционированного воздействия или несанкционированного использования;

предотвращение несанкционированного раскрытия критических объектов СКЗИ;

предотвращение несанкционированной модификации СКЗИ, включая несанкционированное изменение, замену, добавление и уничтожение криптографических ключей, а также других критических объектов;

выявление ошибок в работе и нарушения целостности СКЗИ и предотвращение компрометации в результате этих ошибок критических объектов.

Требования к средствам обеспечения безопасности СКЗИ должны основываться на ТНПА и документах согласно приложению или, при их отсутствии, быть рекомендованы ОАЦ.

В случае реализации средствами обеспечения безопасности СКЗИ своих задач с помощью криптографических операций дополнительно в задание по безопасности должны быть включены соответствующие компоненты функциональных требований со всеми имеющимися зависимостями.

11. СКЗИ, использующиеся в информационных системах и КВОИ, подлежат сертификации в Национальной системе подтверждения соответствия Республики Беларусь или государственной экспертизе на соответствие требованиям безопасности информации, содержащимся в ТНПА и документах согласно приложению.

12. Организационные меры, которые необходимо соблюдать при эксплуатации СКЗИ, должны включать в себя меры по обеспечению особого режима допуска на территорию (в помещения), где может быть осуществлен доступ к СКЗИ и криптографическим ключам (носителям), а также меры по разграничению доступа к ним по кругу лиц. Данные организационные меры должны быть отражены в политике информационной безопасности информационной системы.

13. При принятии собственником (владельцем) информационной системы, относящейся к объекту информатизации класса А2 или Б2, решения о применении СКЗИ для защиты служебной информации ограниченного распространения, определенной в соответствии с законодательством, им должны быть выполнены следующие организационные и технические меры:

необходимо использовать только программно-аппаратные (программно-технические) или аппаратные (технические) СКЗИ, удовлетворяющие требованиям пункта 11 настоящего Положения;

криптографическая защита служебной информации ограниченного распространения должна проводиться на отдельно выделенном компьютере, не подключенном к локальным и глобальным сетям передачи данных (в случае, когда такое подключение требуется для обеспечения технологических процессов функционирования информационных систем, оно должно осуществляться с применением средств защиты информации, имеющих сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы, обеспечивающих исключение возможности несанкционированного доступа к служебной информации ограниченного распространения);

криптографические алгоритмы, значения долговременных параметров и длины криптографических ключей, используемых в средствах криптографической защиты служебной информации ограниченного распространения, должны быть рекомендованы ОАЦ;

в средствах криптографической защиты служебной информации ограниченного распространения необходимо применять конструктивные решения, которые исключают появление личных (секретных) криптографических ключей в открытом виде вне криптографической границы указанных средств;

порядок управления криптографическими ключами средств криптографической защиты служебной информации ограниченного распространения обязан исключать компрометацию всех законных пользователей в случае компрометации ключей одного из них;

должен быть исключен физический доступ к компьютеру и средствам криптографической защиты служебной информации ограниченного распространения неуполномоченных лиц;

на данном компьютере должно быть установлено антивирусное программное обеспечение и проводиться его периодическое обновление;

для обеспечения защищенного канала передачи данных между несколькими контролируемыми зонами объекта информатизации класса Б2 необходимо использовать программно-аппаратные (программно-технические) или аппаратные (технические) СКЗИ, удовлетворяющие требованиям пункта 11 настоящего Положения.

14. Контроль за соблюдением установленных требований по применению СКЗИ в процессе эксплуатации информационной системы осуществляет ОАЦ в пределах предоставленных ему полномочий.

15. Текущий контроль за выполнением требований по КЗИ осуществляется подразделением технической защиты информации или назначенным должностным лицом, ответственным за выполнение мероприятий по технической защите информации у собственника (владельца) информационной системы.



Приложение
к Положению о порядке организации
криптографической защиты информации
в государственных информационных
системах, а также в информационных
системах, содержащих информацию,
распространение и (или) предоставление
которой ограничено



ПЕРЕЧЕНЬ ТЕХНИЧЕСКИХ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ И ДОКУМЕНТОВ, В КОТОРЫХ ОПРЕДЕЛЕНЫ ТРЕБОВАНИЯ К СРЕДСТВАМ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ И НА СООТВЕТСТВИЕ КОТОРЫМ ОСУЩЕСТВЛЯЕТСЯ СЕРТИФИКАЦИЯ И ГОСУДАРСТВЕННАЯ ЭКСПЕРТИЗА

----------------------------+-----------------------------------------
¦     Категория средств     ¦    Наименование технических нормативных     ¦
¦ криптографической защиты  ¦правовых актов и документов, на соответствие ¦
¦        информации         ¦   которым осуществляется сертификация или   ¦
¦                           ¦         государственная экспертиза          ¦
+---------------------------+---------------------------------------------+
¦             1             ¦                      2                      ¦
+---------------------------+---------------------------------------------+
¦1. Средства шифрования     ¦ГОСТ 28147-89 "Системы обработки информации. ¦
¦                           ¦Защита криптографическая. Алгоритм           ¦
¦                           ¦криптографического преобразования"           ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.31-2011 "Информационные           ¦
¦                           ¦технологии. Защита информации.               ¦
¦                           ¦Криптографические алгоритмы шифрования и     ¦
¦                           ¦контроля целостности" <*>                    ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.27-2011 "Информационные           ¦
¦                           ¦технологии и безопасность. Требования        ¦
¦                           ¦безопасности к программным средствам         ¦
¦                           ¦криптографической защиты информации" <*> или ¦
¦                           ¦СТБ П 34.101.43-2009 "Информационные         ¦
¦                           ¦технологии. Методы и средства безопасности.  ¦
¦                           ¦Профиль защиты технических и аппаратно-      ¦
¦                           ¦программных средств криптографической защиты ¦
¦                           ¦информации" <*>                              ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.18-2009 "Информационные           ¦
¦                           ¦технологии. Синтаксис обмена персональной    ¦
¦                           ¦информацией" с учетом использования          ¦
¦                           ¦ГОСТ 28147, СТБ 34.101.31-2011               ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.23-2012 "Информационные           ¦
¦                           ¦технологии и безопасность. Синтаксис         ¦
¦                           ¦криптографических сообщений"                 ¦
+---------------------------+---------------------------------------------+
¦2. Средства управления     ¦ГОСТ 28147-89 "Системы обработки информации. ¦
¦криптографическими ключами ¦Защита криптографическая. Алгоритм           ¦
¦средств шифрования         ¦криптографического преобразования"           ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.31-2011 "Информационные           ¦
¦                           ¦технологии. Защита информации.               ¦
¦                           ¦Криптографические алгоритмы шифрования и     ¦
¦                           ¦контроля целостности"                        ¦
¦                           ¦                                             ¦
¦                           ¦Проект Руководящего документа Республики     ¦
¦                           ¦Беларусь "Банковские технологии. Протоколы   ¦
¦                           ¦формирования общего ключа"                   ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.17-2012 "Информационные           ¦
¦                           ¦технологии и безопасность. Синтаксис запроса ¦
¦                           ¦на получение сертификата"                    ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.18-2009 "Информационные           ¦
¦                           ¦технологии. Синтаксис обмена персональной    ¦
¦                           ¦информацией" с учетом использования          ¦
¦                           ¦СТБ 1176.1-99, СТБ 1176.2-99,                ¦
¦                           ¦СТБ 34.101.31-2011                           ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.47-2012 "Информационные           ¦
¦                           ¦технологии и безопасность. Криптографические ¦
¦                           ¦алгоритмы генерации псевдослучайных чисел"   ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.49-2012 "Информационные           ¦
¦                           ¦технологии и безопасность. Формат карточки   ¦
¦                           ¦открытого ключа"                             ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.19-2012 "Информационные           ¦
¦                           ¦технологии и безопасность. Форматы           ¦
¦                           ¦сертификатов и списков отозванных            ¦
¦                           ¦сертификатов инфраструктуры открытых ключей" ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.23-2012 "Информационные           ¦
¦                           ¦технологии и безопасность. Синтаксис         ¦
¦                           ¦криптографических сообщений"                 ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.27-2011 "Информационные           ¦
¦                           ¦технологии и безопасность. Требования        ¦
¦                           ¦безопасности к программным средствам         ¦
¦                           ¦криптографической защиты информации" или     ¦
¦                           ¦СТБ П 34.101.43-2009 "Информационные         ¦
¦                           ¦технологии. Методы и средства безопасности.  ¦
¦                           ¦Профиль защиты технических и аппаратно-      ¦
¦                           ¦программных средств криптографической защиты ¦
¦                           ¦информации" (задание по безопасности)        ¦
+---------------------------+---------------------------------------------+
¦3. Средства электронной    ¦СТБ 1176.2-99 "Информационная технология.    ¦
¦цифровой подписи           ¦Защита информации. Процедуры выработки и     ¦
¦                           ¦проверки электронной цифровой подписи"       ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 1176.1-99 "Информационная технология.    ¦
¦                           ¦Защита информации. Процедура хэширования"    ¦
¦                           ¦                                             ¦
¦                           ¦СТБ П 34.101.45-2011 "Информационные         ¦
¦                           ¦технологии и безопасность. Алгоритмы         ¦
¦                           ¦электронной цифровой подписи на основе       ¦
¦                           ¦эллиптических кривых" <*>                    ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.31-2011 "Информационные           ¦
¦                           ¦технологии. Защита информации.               ¦
¦                           ¦Криптографические алгоритмы шифрования и     ¦
¦                           ¦контроля целостности" <*>                    ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.47-2012 "Информационные           ¦
¦                           ¦технологии и безопасность. Криптографические ¦
¦                           ¦алгоритмы генерации псевдослучайных чисел"   ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.27-2011 "Информационные           ¦
¦                           ¦технологии и безопасность. Требования        ¦
¦                           ¦безопасности к программным средствам         ¦
¦                           ¦криптографической защиты информации" <*> или ¦
¦                           ¦СТБ П 34.101.43-2009 "Информационные         ¦
¦                           ¦технологии. Методы и средства безопасности.  ¦
¦                           ¦Профиль защиты технических и аппаратно-      ¦
¦                           ¦программных средств криптографической защиты ¦
¦                           ¦информации" <*>                              ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.18-2009 "Информационные           ¦
¦                           ¦технологии. Синтаксис обмена персональной    ¦
¦                           ¦информацией" с учетом использования СТБ      ¦
¦                           ¦1176.1-99, СТБ 1176.2-99, СТБ 34.101.31-2011 ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.19-2012 "Информационные           ¦
¦                           ¦технологии и безопасность. Форматы           ¦
¦                           ¦сертификатов и списков отозванных            ¦
¦                           ¦сертификатов инфраструктуры открытых ключей" ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.23-2012 "Информационные           ¦
¦                           ¦технологии и безопасность. Синтаксис         ¦
¦                           ¦криптографических сообщений"                 ¦
+---------------------------+---------------------------------------------+
¦4. Средства управления     ¦СТБ 1176.2-99 "Информационная технология.    ¦
¦криптографическими ключами ¦Защита информации. Процедуры выработки и     ¦
¦средств электронной        ¦проверки электронной цифровой подписи"       ¦
¦цифровой подписи           ¦                                             ¦
¦                           ¦СТБ П 34.101.45-2011 "Информационные         ¦
¦                           ¦технологии и безопасность. Алгоритмы         ¦
¦                           ¦электронной цифровой подписи на основе       ¦
¦                           ¦эллиптических кривых"                        ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.47-2012 "Информационные           ¦
¦                           ¦технологии и безопасность. Криптографические ¦
¦                           ¦алгоритмы генерации псевдослучайных чисел"   ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.17-2012 "Информационные           ¦
¦                           ¦технологии и безопасность. Синтаксис запроса ¦
¦                           ¦на получение сертификата"                    ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.18-2009 "Информационные           ¦
¦                           ¦технологии. Синтаксис обмена персональной    ¦
¦                           ¦информацией" с учетом использования          ¦
¦                           ¦СТБ 1176.1-99, СТБ 1176.2-99,                ¦
¦                           ¦СТБ 34.101.31-2011                           ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.19-2012 "Информационные           ¦
¦                           ¦технологии и безопасность. Форматы           ¦
¦                           ¦сертификатов и списков отозванных            ¦
¦                           ¦сертификатов инфраструктуры открытых ключей" ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.49-2012 "Информационные           ¦
¦                           ¦технологии и безопасность. Формат карточки   ¦
¦                           ¦открытого ключа"                             ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.23-2012 "Информационные           ¦
¦                           ¦технологии и безопасность. Синтаксис         ¦
¦                           ¦криптографических сообщений"                 ¦
¦                           ¦                                             ¦
¦                           ¦СТБ 34.101.27-2011 "Информационные           ¦
¦                           ¦технологии и безопасность. Требования        ¦
¦                           ¦безопасности к программным средствам         ¦
¦                           ¦криптографической защиты информации" или     ¦
¦                           ¦СТБ П 34.101.43-2009 "Информационные         ¦
¦                           ¦технологии. Методы и средства безопасности.  ¦
¦                           ¦Профиль защиты технических и аппаратно-      ¦
¦                           ¦программных средств криптографической защиты ¦
¦                           ¦информации"                                  ¦
¦---------------------------+----------------------------------------------


--------------------------------

<*> Перечень ТНПА и документов, в которых определены требования к программно-аппаратным (программно-техническим) и аппаратным (техническим) СКЗИ и на соответствие которым осуществляется их сертификация и государственная экспертиза.






Архів документів
Папярэдні | Наступны
Новости законодательства

Новости Спецпроекта "Тюрьма"

Новости сайта
Новости Беларуси

Полезные ресурсы

Счетчики
Rambler's Top100
TopList