ПОИСК ДОКУМЕНТОВ

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 02.08.2010 № 60 "Об утверждении Положения о порядке определения поставщиков интернет-услуг, уполномоченных оказывать интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты"

Текст документа с изменениями и дополнениями по состоянию на ноябрь 2013 года

< Главная страница

Зарегистрировано в НРПА РБ 3 августа 2010 г. N 7/1316

В соответствии с пунктом 7 Указа Президента Республики Беларусь от 1 февраля 2010 г. N 60 "О мерах по совершенствованию использования национального сегмента сети Интернет" ПРИКАЗЫВАЮ:

1. Утвердить прилагаемое Положение о порядке определения поставщиков интернет-услуг, уполномоченных оказывать интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты.

2. Настоящий приказ вступает в силу после его официального опубликования.

Начальник В.П.Вакульчик

                                                  УТВЕРЖДЕНО
                                                  Приказ
                                                  Оперативно-аналитического
                                                  центра при Президенте
                                                  Республики Беларусь
                                                  02.08.2010 N 60
 

1. Настоящее Положение устанавливает порядок определения Оперативно-аналитическим центром при Президенте Республики Беларусь (далее - ОАЦ) поставщиков интернет-услуг, уполномоченных оказывать интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты (далее - государственные органы и организации).

2. Для целей настоящего Положения применяются термины и их определения в значениях, установленных Указом Президента Республики Беларусь от 1 февраля 2010 г. N 60 "О мерах по совершенствованию использования национального сегмента сети Интернет" (Национальный реестр правовых актов Республики Беларусь, 2010 г., N 29, 1/11368), Законом Республики Беларусь от 10 ноября 2008 года "Об информации, информатизации и защите информации" (Национальный реестр правовых актов Республики Беларусь, 2008 г., N 279, 2/1552) и государственным стандартом СТБ ИСО 19011-2003.

3. Поставщики интернет-услуг, не имеющие права на оказание интернет-услуг государственным органам и организациям, для получения такого права направляют ежегодно с 1 по 31 августа в ОАЦ заявление, подписанное руководителем юридического лица либо индивидуальным предпринимателем, в котором указываются:

для юридического лица - наименование и место его нахождения;

для индивидуального предпринимателя - фамилия, имя, отчество, паспортные данные (серия, номер, когда и кем выдан, место жительства).

К заявлению прилагаются:

копии документа, подтверждающего государственную регистрацию юридического лица или индивидуального предпринимателя, специального разрешения (лицензии) на осуществление деятельности в области связи (без нотариального засвидетельствования);

описание реализованных в соответствии с требованиями согласно приложению (далее - предъявляемые требования) организационных, программных и (или) программно-технических решений для оказания интернет-услуг государственным органам и организациям;

список должностных лиц, ответственных за обеспечение безопасности при оказании услуг государственным органам и организациям, с указанием фамилии, имени, отчества, контактных и паспортных данных (серия, номер, когда и кем выдан, место жительства), а также копии документов, подтверждающих их квалификацию.

4. ОАЦ ежегодно до 15 октября проводит оценку соответствия возможностей поставщиков интернет-услуг, направивших заявления, оказывать такие услуги государственным органам и организациям на основании требований нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов, а также предъявляемых требований. По результатам указанной оценки принимается решение о соответствии или несоответствии возможностей поставщика интернет-услуг оказывать интернет-услуги государственным органам и организациям.

5. Основаниями для отказа поставщику интернет-услуг в предоставлении права оказывать такие услуги государственным органам и организациям являются:

непредставление всех документов, определенных пунктом 3 настоящего Положения;

указание в документах недостоверных сведений;

выявленное при изучении документов либо в ходе оценки несоответствие предъявляемым требованиям реализованных организационных, программных и (или) программно-технических решений для оказания интернет-услуг государственным органам и организациям.

В случае принятия решения об отказе в предоставлении права оказывать интернет-услуги государственным органам и организациям ОАЦ до 25 октября года, в котором направлено заявление, письменно информирует об этом поставщика интернет-услуг с указанием причин отказа.

6. По результатам оценки поставщиков интернет-услуг предъявляемым требованиям ОАЦ вносит Президенту Республики Беларусь на согласование вопрос о включении их в перечень поставщиков интернет-услуг, оказывающих такие услуги государственным органам и организациям (далее - уполномоченные поставщики интернет-услуг).

Уполномоченные поставщики интернет-услуг вправе оказывать такие услуги государственным органам и организациям до их исключения из перечня.

7. При изменении сведений, указанных в заявлении либо прилагаемых к нему документах, уполномоченные поставщики интернет-услуг обязаны письменно информировать об этом ОАЦ в трехдневный срок со дня изменения таких сведений.

8. Уполномоченные поставщики интернет-услуг осуществляют внутренний аудит собственных систем защиты информации и ежегодно до 1 сентября представляют в ОАЦ заключение по результатам аудита.

9. ОАЦ осуществляет повторную оценку соответствия возможностей уполномоченного поставщика интернет-услуг предъявляемым требованиям в случаях:

изменения организационных, программных и (или) программно-технических решений для оказания интернет-услуг государственным органам и организациям;

изменения предъявляемых требований;

наличия уязвимостей систем защиты информации, в том числе по результатам рассмотрения заключений, представленных уполномоченными поставщиками интернет-услуг по результатам проведения ими аудита собственных систем защиты информации;

невыполнения уполномоченным поставщиком интернет-услуг предъявляемых требований.

10. При несоответствии поставщика интернет-услуг предъявляемым требованиям, установленным в результате повторной оценки, ОАЦ по согласованию с Президентом Республики Беларусь исключает этого поставщика из перечня уполномоченных поставщиков интернет-услуг.

Приложение
к Положению о порядке определения
поставщиков интернет-услуг,
уполномоченных оказывать
интернет-услуги государственным органам
и организациям, использующим в своей
деятельности сведения, составляющие
государственные секреты

ТРЕБОВАНИЯ К ПОСТАВЩИКАМ ИНТЕРНЕТ-УСЛУГ, ОКАЗЫВАЮЩИМ ИНТЕРНЕТ-УСЛУГИ ГОСУДАРСТВЕННЫМ ОРГАНАМ И ОРГАНИЗАЦИЯМ, ИСПОЛЬЗУЮЩИМ В СВОЕЙ ДЕЯТЕЛЬНОСТИ СВЕДЕНИЯ, СОСТАВЛЯЮЩИЕ ГОСУДАРСТВЕННЫЕ СЕКРЕТЫ

1. Поставщики интернет-услуг при оказании таких услуг государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты (далее - государственные органы и организации), обязаны:

1.1. использовать при оказании интернет-услуг оборудование, размещенное на территории Республики Беларусь;

1.2. применять средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы;

1.3. разработать и внедрить план бесперебойного функционирования и восстановления работоспособности программных и (или) программно-технических средств информационной системы, с использованием которой оказываются интернет-услуги;

1.4. обеспечить передачу в Оперативно-аналитический центр при Президенте Республики Беларусь (далее - ОАЦ) сведений в соответствии с согласованными с ОАЦ сроками, перечнем и форматами:

о структурных и функциональных схемах информационных систем поставщика интернет-услуг;

о настройках и состоянии оборудования, используемого для маршрутизации и коммутации сети передачи данных;

об абонентах и предоставляемых услугах;

об обнаружении критических событий безопасности;

1.5. определить ответственных администраторов безопасности и реализовать организационные, программные и (или) программно-технические решения, позволяющие обеспечить:

доступ к настройкам средств межсетевого экранирования, активного сетевого оборудования и системы безопасности только администраторам безопасности из доверенного сетевого сегмента поставщика интернет-услуг;

документирование изменений конфигурационных файлов сетевого оборудования, программных, программно-технических средств защиты информации, конфигураций системного и прикладного программного обеспечения, идентификационной информации субъектов информационной системы поставщика интернет-услуг и хранение соответствующей информации не менее одного года;

обновление программного обеспечения, используемого для оказания интернет-услуг, в соответствии с порядком, установленным у поставщика интернет-услуг;

ведение и анализ журнала событий безопасности;

синхронизацию системного времени на серверном и активном сетевом оборудовании от единого (общего) источника (в качестве основного источника необходимо использовать данные республиканского унитарного предприятия "Белорусский государственный институт метрологии");

межсетевое экранирование по портам протоколов транспортного уровня в соответствии с договором на оказание интернет-услуг;

выдачу и хранение реквизитов удаленного доступа потребителям интернет-услуг в соответствии с утвержденным руководителем поставщика интернет-услуг регламентом;

хранение данных авторизации в течение одного года;

предоставление государственным органам и организациям статического IP-адреса;

фильтрацию трафика государственных органов и организаций от вредоносного программного обеспечения;

оповещение ОАЦ и должностных лиц государственного органа и организации, определенных договором, при обнаружении уязвимостей систем защиты информации, работы вредоносных компьютерных программ в информационных системах этих органа и организации;

ограничение доступа государственных органов и организаций (за исключением органов, осуществляющих оперативно-розыскную деятельность, органов прокуратуры и предварительного следствия, органов Комитета государственного контроля, налоговых органов, судов и иных государственных органов и организаций, определяемых ОАЦ) к информации, указанной в части первой пункта 8 Указа Президента Республики Беларусь от 1 февраля 2010 г. N 60, посредством использования списков ограниченного доступа, формируемых уполномоченными государственными органами, поставщиком интернет-услуг, а также с использованием системы специализированных серверов доменных имен.

2. Поставщики интернет-услуг при оказании государственным органам и организациям услуг хостинга обязаны:

2.1. определить и письменно согласовать с ОАЦ политику безопасности для размещения интернет-сайтов на всех видах предоставляемых услуг хостинга;

2.2. осуществлять размещение интернет-сайтов государственных органов и организаций после получения от их владельцев письменного уведомления о назначении администратора(ов) интернет-сайта;

2.3. организовывать хостинг по технологиям "виртуальный хостинг", "виртуальный сервер" или "выделенный сервер" в специально выделенных сетевых сегментах, разделенных средствами межсетевого экранирования;

2.4. осуществлять хостинг интернет-сайтов государственных органов и организаций, не предоставивших аттестат соответствия на систему защиты информации, только по технологиям "выделенный сервер" и "виртуальный сервер";

2.5. предоставлять доступ к административной части интернет-сайтов и серверам электронной почты государственных органов и организаций только по портам протоколов транспортного уровня с определенного перечня сетевых адресов, определенных в договоре на оказание интернет-услуг. При этом использовать сертифицированные или прошедшие государственную экспертизу средства защиты информации, реализующие защищенные протоколы обмена, или обеспечить организацию удаленного доступа через защищенные протоколы обмена посредством соединения, не имеющего выход в сеть Интернет;

2.6. осуществлять полное резервное копирование информации интернет-сайтов в соответствии с политикой безопасности;

2.7. предоставлять систему обмена электронной почтой с возможностью блокирования незапрашиваемой информации (спама);

2.8. обеспечить функционирование системы аудита и протоколирования событий безопасности интернет-сайтов.

Журналы аудита должны содержать сведения о функционировании серверного и телекоммуникационного оборудования, программного обеспечения, средств защиты и контроля защищенности информации. Срок хранения данной информации составляет не менее одного года;

2.9. обеспечить в соответствии с политикой безопасности непрерывный мониторинг работоспособности интернет-сайтов, серверов, телекоммуникационного оборудования, средств защиты информации с оповещением администратора безопасности и ОАЦ о нарушениях функционирования системы защиты информации;

2.10. устранять выявленные нарушения безопасности интернет-сайтов в соответствии с требованиями политики безопасности. При невозможности устранения указанных нарушений собственными силами в течение одного дня информировать ОАЦ и администраторов соответствующих интернет-сайтов.

Archiv Dokumente Папярэдні | Наступны