|
|
|
|
Навигация
Новые документы
Реклама
Ресурсы в тему
|
Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 03.03.2011 № 18 "Об утверждении Положения о порядке применения средств криптографической защиты информации в системах защиты информации"Документ утратил силу
< Главная страница Зарегистрировано в НРПА РБ 12 марта 2011 г. N 7/1433 В соответствии со статьей 12 Закона Республики Беларусь от 10 ноября 2008 года "Об информации, информатизации и защите информации" ПРИКАЗЫВАЮ: 1. Утвердить прилагаемое Положение о порядке применения средств криптографической защиты информации в системах защиты информации. 2. Контроль за выполнением настоящего приказа возложить на заместителя начальника Оперативно-аналитического центра при Президенте Республики Беларусь - начальника управления защиты информации. 3. Настоящий приказ вступает в силу после его официального опубликования. Начальник В.П.Вакульчик УТВЕРЖДЕНО
Приказ
Оперативно-аналитического
центра при Президенте
Республики Беларусь
03.03.2011 N 18
1. Настоящее Положение определяет порядок применения средств криптографической защиты информации (далее - СКЗИ) в системах защиты информации государственных информационных систем, а также информационных систем, содержащих информацию, распространение и (или) предоставление которой ограничено (далее - информационные системы). 2. Порядок применения СКЗИ в информационных системах, содержащих информацию, отнесенную к государственным секретам, определяется иными нормативными правовыми актами. 3. Для целей настоящего Положения применяются термины и их определения в значениях, установленных Законом Республики Беларусь от 10 ноября 2008 года "Об информации, информатизации и защите информации" (Национальный реестр правовых актов Республики Беларусь, 2008 г., N 279, 2/1552), постановлением Совета Министров Республики Беларусь от 26 мая 2009 г. N 675 "О некоторых вопросах защиты информации" (Национальный реестр правовых актов Республики Беларусь, 2009 г., N 136, 5/29837), техническими нормативными правовыми актами в области защиты информации (далее - ТНПА), а также следующие термины и их определения: средства криптографической защиты информации - программные, программно-аппаратные (программно-технические) и технические (аппаратные) средства защиты информации, реализующие одну или несколько криптографических операций (шифрование, выработка и проверка электронной цифровой подписи, хэширование, имитозащита, криптографические протоколы), включая средства управления криптографическими ключами; критический объект - объект, несанкционированное раскрытие или модификация которого снижает безопасность СКЗИ. 4. СКЗИ применяются для обеспечения конфиденциальности, контроля целостности (неизменности) и подлинности информации в информационных системах. СКЗИ могут объединяться в системы или комплексы. СКЗИ должны эксплуатироваться в соответствии с комплексом организационных мер. 5. Координация деятельности по применению СКЗИ в информационных системах осуществляется Оперативно-аналитическим центром при Президенте Республики Беларусь (далее - ОАЦ) в пределах предоставленных ему полномочий. 6. Решение о применении СКЗИ принимается собственником (владельцем) информационной системы при реализации комплекса мероприятий по созданию системы защиты информации в информационной системе на этапе разработки или корректировки политики информационной безопасности и задания по безопасности на данную систему. К указанным работам собственники (владельцы) информационных систем могут привлекать организации, имеющие специальные разрешения (лицензии) ОАЦ на осуществление деятельности по технической защите информации, в том числе криптографическими методами, включая применение электронной цифровой подписи, в части составляющих данный вид деятельности работ по разработке средств криптографической защиты информации. 7. Задание по безопасности должно включать функциональные требования к криптографическим операциям, выполняемым СКЗИ, управлению криптографическими ключами данных СКЗИ, а также комплексу средств обеспечения безопасности СКЗИ. 8. СКЗИ должны выполнять криптографические операции в соответствии с заданными криптографическими алгоритмами и длинами криптографических ключей, которые удовлетворяют ТНПА и документам согласно приложению, или при их отсутствии быть рекомендованы ОАЦ. 9. Для каждой криптографической операции, реализованной в СКЗИ, в задании по безопасности должны быть определены требования по управлению криптографическими ключами, включающие требования по их генерации, распределению, хранению, доступу к ним и их уничтожению. Средства управления криптографическими ключами должны реализовывать алгоритмы генерации криптографических ключей, методы распределения, доступа и уничтожения криптографических ключей в соответствии с ТНПА и документами согласно приложению или при их отсутствии быть рекомендованы ОАЦ. На всех этапах жизненного цикла криптографических ключей должна быть обеспечена их защита от несанкционированного доступа. Вопросы управления криптографическими ключами СКЗИ должны быть изложены в общей спецификации объекта задания по безопасности. 10. Комплекс средств обеспечения безопасности (далее - КСОБ) СКЗИ должен обеспечивать решение следующих задач: защита СКЗИ от несанкционированного воздействия или несанкционированного использования; предотвращение несанкционированного раскрытия содержимого СКЗИ, к которому установлен ограниченный доступ, включая общие (открытые) криптографические ключи и другие критические объекты; предотвращение несанкционированной модификации СКЗИ, включая несанкционированное изменение, замену, добавление и уничтожение криптографических ключей, а также других критических объектов; поддержка требуемого рабочего режима СКЗИ; выявление ошибок в работе СКЗИ и предотвращение компрометации в результате этих ошибок критических объектов. Требования к комплексу средств обеспечения безопасности СКЗИ должны основываться на ТНПА и документах согласно приложению или при их отсутствии быть рекомендованы ОАЦ. В случае реализации КСОБ с помощью криптографических операций дополнительно в задании по безопасности должны быть включены соответствующие компоненты функциональных требований со всеми имеющимися зависимостями. 11. СКЗИ, использующиеся в информационных системах, подлежат сертификации в Национальной системе подтверждения соответствия Республики Беларусь или государственной экспертизе на соответствие требованиям безопасности информации, содержащимся в ТНПА и документах согласно приложению. 12. Организационные меры, которые необходимо соблюдать при эксплуатации СКЗИ, должны включать в себя меры по обеспечению особого режима допуска на территорию (в помещения), где может быть осуществлен доступ к СКЗИ и криптографическим ключам (носителям), а также меры по разграничению доступа к ним по кругу лиц. Данные организационные меры должны быть отражены в политике информационной безопасности информационной системы. 13. При принятии собственником (владельцем) информационной системы, относящейся к объекту информатизации класса А2 или Б2, решения о применении СКЗИ для защиты информации, распространение и (или) предоставление которой ограничено, определенной в соответствии с законодательством (далее - информация для служебного пользования), им должны быть выполнены следующие организационные и технические меры: должны использоваться только программно-аппаратные (программно-технические) или технические (аппаратные) СКЗИ (криптографические операции которых выполняются в специализированном техническом устройстве); данные СКЗИ должны быть установлены на отдельном выделенном компьютере, не подключенном к локальным и глобальным сетям передачи данных (в случае, когда такое подключение требуется для обеспечения технологических процессов функционирования информационных систем, оно должно осуществляться с применением средств защиты информации, имеющих сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы, обеспечивающих исключение возможности несанкционированного получения информации для служебного пользования); криптографические алгоритмы, долговременные параметры и длины криптографических ключей должны быть рекомендованы ОАЦ; личные (секретные) криптографические ключи не должны покидать криптографическую границу данных СКЗИ; порядок управления криптографическими ключами должен исключать компрометацию всех законных пользователей в случае компрометации ключей одного из них; должен вестись учет доступа к данному компьютеру и СКЗИ, исключающий физический доступ к ним неуполномоченных лиц; на данном компьютере должно быть установлено антивирусное программное обеспечение; информация для служебного пользования, выходящая за пределы контролируемой зоны объекта информатизации класса Б2, должна быть зашифрована с использованием СКЗИ, удовлетворяющих требованиям пункта 11 настоящего Положения. 14. В случае принятия решения об использовании СКЗИ при организации обмена информацией, распространение и (или) предоставление которой ограничено, между межведомственными (корпоративными) информационными системами тип применяемых СКЗИ, криптографические операции, управление криптографическими ключами, форматы зашифрованных и (или) подписанных электронной цифровой подписью сообщений и другие вопросы совместимости СКЗИ определяются соглашениями между собственниками (владельцами) данных информационных систем. В рамках организации межведомственного взаимодействия информационных систем также может быть использована Государственная система управления открытыми ключами. 15. Контроль за соблюдением установленных требований по применению СКЗИ в процессе эксплуатации информационной системы осуществляет ОАЦ в пределах предоставленных ему полномочий. 16. Текущий контроль за применением СКЗИ осуществляется подразделением технической защиты информации или назначенным должностным лицом, ответственным за выполнение мероприятий по технической защите информации у собственника (владельца) информационной системы. Приложение ПЕРЕЧЕНЬ ТЕХНИЧЕСКИХ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ И ДОКУМЕНТОВ, В КОТОРЫХ ОПРЕДЕЛЕНЫ ТРЕБОВАНИЯ К СРЕДСТВАМ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ И НА СООТВЕТСТВИЕ КОТОРЫМ ОСУЩЕСТВЛЯЕТСЯ СЕРТИФИКАЦИЯ ИЛИ ГОСУДАРСТВЕННАЯ ЭКСПЕРТИЗА---------------------+------------------------------------------------ ¦Наименование средств¦Наименование технических нормативных правовых актов ¦ ¦ криптографической ¦и документов, на соответствие которым осуществляется¦ ¦ защиты информации ¦ сертификация или государственная экспертиза ¦ +--------------------+----------------------------------------------------+ ¦ 1 ¦ 2 ¦ +--------------------+----------------------------------------------------+ ¦1. Средства ¦ГОСТ 28147-89 "Системы обработки информации. Защита ¦ ¦шифрования ¦криптографическая. Алгоритм криптографического ¦ ¦ ¦преобразования" ¦ ¦ ¦ ¦ ¦ ¦СТБ 34.101.31-2011 "Информационные технологии. ¦ ¦ ¦Защита информации. Криптографические алгоритмы ¦ ¦ ¦шифрования и контроля целостности" ¦ ¦ ¦ ¦ ¦ ¦РД РБ 07040.1202-2003 "Банковские технологии. ¦ ¦ ¦Процедура выработки псевдослучайных данных с ¦ ¦ ¦использованием секретного параметра" ¦ ¦ ¦ ¦ ¦ ¦Проект Руководящего документа Республики Беларусь ¦ ¦ ¦"Банковские технологии. Протоколы формирования ¦ ¦ ¦общего ключа" ¦ ¦ ¦ ¦ ¦ ¦Проект СТБ 34.101.27-2012 "Информационные технологии¦ ¦ ¦и безопасность. Требования безопасности к ¦ ¦ ¦программным средствам криптографической защиты ¦ ¦ ¦информации" или СТБ П 34.101.43-2009 "Информационные¦ ¦ ¦технологии. Методы и средства безопасности. Профиль ¦ ¦ ¦защиты технических и аппаратно-программных средств ¦ ¦ ¦криптографической защиты информации" (задание по ¦ ¦ ¦безопасности) ¦ ¦ ¦ ¦ ¦ ¦СТБ 34.101.18-2009 "Информационные технологии. ¦ ¦ ¦Синтаксис обмена персональной информацией" с учетом ¦ ¦ ¦использования ГОСТ 28147, СТБ 34.101.31-2011 ¦ ¦ ¦ ¦ ¦ ¦СТБ П 34.101.23-2008 "Информационные технологии. ¦ ¦ ¦Защита информации. Форматы параметров ¦ ¦ ¦криптографических алгоритмов" с учетом использования¦ ¦ ¦ГОСТ 28147, СТБ 34.101.31-2011 ¦ +--------------------+----------------------------------------------------+ ¦2. Средства ¦СТБ 1176.2-99 "Информационная технология. Защита ¦ ¦электронной цифровой¦информации. Процедуры выработки и проверки ¦ ¦подписи ¦электронной цифровой подписи" ¦ ¦ ¦ ¦ ¦ ¦СТБ 1176.1-99 "Информационная технология. Защита ¦ ¦ ¦информации. Процедура хэширования" ¦ ¦ ¦ ¦ ¦ ¦СТБ П 34.101.45-2011 "Информационные технологии и ¦ ¦ ¦безопасность. Алгоритмы электронной цифровой подписи¦ ¦ ¦на основе эллиптических кривых" ¦ ¦ ¦ ¦ ¦ ¦СТБ 34.101.31-2011 "Информационные технологии. ¦ ¦ ¦Защита информации. Криптографические алгоритмы ¦ ¦ ¦шифрования и контроля целостности" ¦ ¦ ¦ ¦ ¦ ¦РД РБ 07040.1202-2003 "Банковские технологии. ¦ ¦ ¦Процедура выработки псевдослучайных данных с ¦ ¦ ¦использованием секретного параметра" ¦ ¦ ¦ ¦ ¦ ¦Проект СТБ 34.101.27-2012 "Информационные технологии¦ ¦ ¦и безопасность. Требования безопасности к ¦ ¦ ¦программным средствам криптографической защиты ¦ ¦ ¦информации" или СТБ П 34.101.43-2009 "Информационные¦ ¦ ¦технологии. Методы и средства безопасности. Профиль ¦ ¦ ¦защиты технических и аппаратно-программных средств ¦ ¦ ¦криптографической защиты информации" (задание по ¦ ¦ ¦безопасности) ¦ ¦ ¦ ¦ ¦ ¦РД РБ 07040.1204-2004 "Банковские технологии. Формат¦ ¦ ¦карточки открытого ключа" ¦ ¦ ¦ ¦ ¦ ¦СТБ 34.101.17-2009 "Информационные технологии. ¦ ¦ ¦Синтаксис запроса на получение сертификата" с учетом¦ ¦ ¦использования СТБ 1176.1-99, СТБ 1176.2-99, СТБ ¦ ¦ ¦34.101.31-2011 ¦ ¦ ¦ ¦ ¦ ¦СТБ 34.101.18-2009 "Информационные технологии. ¦ ¦ ¦Синтаксис обмена персональной информацией" с учетом ¦ ¦ ¦использования СТБ 1176.1-99, СТБ 1176.2-99, СТБ ¦ ¦ ¦34.101.31-2011 ¦ ¦ ¦ ¦ ¦ ¦СТБ 34.101.19-2009 "Информационные технологии. ¦ ¦ ¦Форматы сертификатов и списков отозванных ¦ ¦ ¦сертификатов инфраструктуры открытых ключей" с ¦ ¦ ¦учетом использования СТБ 1176.1-99, СТБ 1176.2-99, ¦ ¦ ¦СТБ 34.101.31-2011 ¦ ¦ ¦ ¦ ¦ ¦СТБ П 34.101.23-2008 "Информационные технологии. ¦ ¦ ¦Защита информации. Форматы параметров ¦ ¦ ¦криптографических алгоритмов" с учетом использования¦ ¦ ¦СТБ 1176.1-99, СТБ 1176.2-99, СТБ 34.101.31-2011 ¦ +--------------------+----------------------------------------------------+ ¦3. Средства ¦СТБ 34.101.17-2009 "Информационные технологии. ¦ ¦управления ¦Синтаксис запроса на получение сертификата" с учетом¦ ¦криптографическими ¦использования СТБ 1176.1-99, СТБ 1176.2-99, СТБ ¦ ¦ключами ¦34.101.31-2011 ¦ ¦ ¦ ¦ ¦ ¦СТБ 34.101.18-2009 "Информационные технологии. ¦ ¦ ¦Синтаксис обмена персональной информацией" с учетом ¦ ¦ ¦использования СТБ 1176.1-99, СТБ 1176.2-99, СТБ ¦ ¦ ¦34.101.31-2011 ¦ ¦ ¦ ¦ ¦ ¦СТБ 34.101.19-2009 "Информационные технологии. ¦ ¦ ¦Форматы сертификатов и списков отозванных ¦ ¦ ¦сертификатов инфраструктуры открытых ключей" с ¦ ¦ ¦учетом использования СТБ 1176.1-99, СТБ 1176.2-99, ¦ ¦ ¦СТБ 34.101.31-2011 ¦ ¦ ¦ ¦ ¦ ¦СТБ П 34.101.23-2008 "Информационные технологии. ¦ ¦ ¦Защита информации. Форматы параметров ¦ ¦ ¦криптографических алгоритмов" с учетом использования¦ ¦ ¦СТБ 1176.1-99, СТБ 1176.2-99, СТБ 34.101.31-2011 ¦ ¦ ¦ ¦ ¦ ¦Проект СТБ 34.101.27-2012 "Информационные технологии¦ ¦ ¦и безопасность. Требования безопасности к ¦ ¦ ¦программным средствам криптографической защиты ¦ ¦ ¦информации" или СТБ П 34.101.43-2009 "Информационные¦ ¦ ¦технологии. Методы и средства безопасности. Профиль ¦ ¦ ¦защиты технических и аппаратно-программных средств ¦ ¦ ¦криптографической защиты информации" (задание по ¦ ¦ ¦безопасности) ¦ ¦--------------------+----------------------------------------------------- |
Новости законодательства
Новости Спецпроекта "Тюрьма"
Новости сайта
Новости Беларуси
Полезные ресурсы
Счетчики
|
