Навигация
Новые документы
Реклама
Ресурсы в тему
|
Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 02.08.2010 № 60 "Об утверждении Положения о порядке определения поставщиков интернет-услуг, уполномоченных оказывать интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты"< Главная страница Зарегистрировано в НРПА РБ 3 августа 2010 г. N 7/1316 В соответствии с пунктом 7 Указа Президента Республики Беларусь от 1 февраля 2010 г. N 60 "О мерах по совершенствованию использования национального сегмента сети Интернет" ПРИКАЗЫВАЮ: 1. Утвердить прилагаемое Положение о порядке определения поставщиков интернет-услуг, уполномоченных оказывать интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты. 2. Настоящий приказ вступает в силу после его официального опубликования. Начальник В.П.Вакульчик УТВЕРЖДЕНО Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 02.08.2010 N 60 1. Настоящее Положение устанавливает порядок определения Оперативно-аналитическим центром при Президенте Республики Беларусь (далее - ОАЦ) поставщиков интернет-услуг, уполномоченных оказывать интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты (далее - государственные органы и организации). 2. Для целей настоящего Положения применяются термины и их определения в значениях, установленных Указом Президента Республики Беларусь от 1 февраля 2010 г. N 60 "О мерах по совершенствованию использования национального сегмента сети Интернет" (Национальный реестр правовых актов Республики Беларусь, 2010 г., N 29, 1/11368), Законом Республики Беларусь от 10 ноября 2008 года "Об информации, информатизации и защите информации" (Национальный реестр правовых актов Республики Беларусь, 2008 г., N 279, 2/1552) и государственным стандартом СТБ ИСО 19011-2003. 3. Поставщики интернет-услуг, не имеющие права на оказание интернет-услуг государственным органам и организациям, для получения такого права направляют ежегодно с 1 по 31 августа в ОАЦ заявление, подписанное руководителем юридического лица либо индивидуальным предпринимателем, в котором указываются: для юридического лица - наименование и место его нахождения; для индивидуального предпринимателя - фамилия, имя, отчество, паспортные данные (серия, номер, когда и кем выдан, место жительства). К заявлению прилагаются: копии документа, подтверждающего государственную регистрацию юридического лица или индивидуального предпринимателя, специального разрешения (лицензии) на осуществление деятельности в области связи (без нотариального засвидетельствования); описание реализованных в соответствии с требованиями согласно приложению (далее - предъявляемые требования) организационных, программных и (или) программно-технических решений для оказания интернет-услуг государственным органам и организациям; список должностных лиц, ответственных за обеспечение безопасности при оказании услуг государственным органам и организациям, с указанием фамилии, имени, отчества, контактных и паспортных данных (серия, номер, когда и кем выдан, место жительства), а также копии документов, подтверждающих их квалификацию. 4. ОАЦ ежегодно до 15 октября проводит оценку соответствия возможностей поставщиков интернет-услуг, направивших заявления, оказывать такие услуги государственным органам и организациям на основании требований нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов, а также предъявляемых требований. По результатам указанной оценки принимается решение о соответствии или несоответствии возможностей поставщика интернет-услуг оказывать интернет-услуги государственным органам и организациям. 5. Основаниями для отказа поставщику интернет-услуг в предоставлении права оказывать такие услуги государственным органам и организациям являются: непредставление всех документов, определенных пунктом 3 настоящего Положения; указание в документах недостоверных сведений; выявленное при изучении документов либо в ходе оценки несоответствие предъявляемым требованиям реализованных организационных, программных и (или) программно-технических решений для оказания интернет-услуг государственным органам и организациям. В случае принятия решения об отказе в предоставлении права оказывать интернет-услуги государственным органам и организациям ОАЦ до 25 октября года, в котором направлено заявление, письменно информирует об этом поставщика интернет-услуг с указанием причин отказа. 6. По результатам оценки поставщиков интернет-услуг предъявляемым требованиям ОАЦ вносит Президенту Республики Беларусь на согласование вопрос о включении их в перечень поставщиков интернет-услуг, оказывающих такие услуги государственным органам и организациям (далее - уполномоченные поставщики интернет-услуг). Уполномоченные поставщики интернет-услуг вправе оказывать такие услуги государственным органам и организациям до их исключения из перечня. 7. При изменении сведений, указанных в заявлении либо прилагаемых к нему документах, уполномоченные поставщики интернет-услуг обязаны письменно информировать об этом ОАЦ в трехдневный срок со дня изменения таких сведений. 8. Уполномоченные поставщики интернет-услуг осуществляют внутренний аудит собственных систем защиты информации и ежегодно до 1 сентября представляют в ОАЦ заключение по результатам аудита. 9. ОАЦ осуществляет повторную оценку соответствия возможностей уполномоченного поставщика интернет-услуг предъявляемым требованиям в случаях: изменения организационных, программных и (или) программно-технических решений для оказания интернет-услуг государственным органам и организациям; изменения предъявляемых требований; наличия уязвимостей систем защиты информации, в том числе по результатам рассмотрения заключений, представленных уполномоченными поставщиками интернет-услуг по результатам проведения ими аудита собственных систем защиты информации; невыполнения уполномоченным поставщиком интернет-услуг предъявляемых требований. 10. При несоответствии поставщика интернет-услуг предъявляемым требованиям, установленным в результате повторной оценки, ОАЦ по согласованию с Президентом Республики Беларусь исключает этого поставщика из перечня уполномоченных поставщиков интернет-услуг. Приложение ТРЕБОВАНИЯ К ПОСТАВЩИКАМ ИНТЕРНЕТ-УСЛУГ, ОКАЗЫВАЮЩИМ ИНТЕРНЕТ-УСЛУГИ ГОСУДАРСТВЕННЫМ ОРГАНАМ И ОРГАНИЗАЦИЯМ, ИСПОЛЬЗУЮЩИМ В СВОЕЙ ДЕЯТЕЛЬНОСТИ СВЕДЕНИЯ, СОСТАВЛЯЮЩИЕ ГОСУДАРСТВЕННЫЕ СЕКРЕТЫ1. Поставщики интернет-услуг при оказании таких услуг государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты (далее - государственные органы и организации), обязаны: 1.1. использовать при оказании интернет-услуг оборудование, размещенное на территории Республики Беларусь; 1.2. применять средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы; 1.3. разработать и внедрить план бесперебойного функционирования и восстановления работоспособности программных и (или) программно-технических средств информационной системы, с использованием которой оказываются интернет-услуги; 1.4. обеспечить передачу в Оперативно-аналитический центр при Президенте Республики Беларусь (далее - ОАЦ) сведений в соответствии с согласованными с ОАЦ сроками, перечнем и форматами: о структурных и функциональных схемах информационных систем поставщика интернет-услуг; о настройках и состоянии оборудования, используемого для маршрутизации и коммутации сети передачи данных; об абонентах и предоставляемых услугах; об обнаружении критических событий безопасности; 1.5. определить ответственных администраторов безопасности и реализовать организационные, программные и (или) программно-технические решения, позволяющие обеспечить: доступ к настройкам средств межсетевого экранирования, активного сетевого оборудования и системы безопасности только администраторам безопасности из доверенного сетевого сегмента поставщика интернет-услуг; документирование изменений конфигурационных файлов сетевого оборудования, программных, программно-технических средств защиты информации, конфигураций системного и прикладного программного обеспечения, идентификационной информации субъектов информационной системы поставщика интернет-услуг и хранение соответствующей информации не менее одного года; обновление программного обеспечения, используемого для оказания интернет-услуг, в соответствии с порядком, установленным у поставщика интернет-услуг; ведение и анализ журнала событий безопасности; синхронизацию системного времени на серверном и активном сетевом оборудовании от единого (общего) источника (в качестве основного источника необходимо использовать данные республиканского унитарного предприятия "Белорусский государственный институт метрологии"); межсетевое экранирование по портам протоколов транспортного уровня в соответствии с договором на оказание интернет-услуг; выдачу и хранение реквизитов удаленного доступа потребителям интернет-услуг в соответствии с утвержденным руководителем поставщика интернет-услуг регламентом; хранение данных авторизации в течение одного года; предоставление государственным органам и организациям статического IP-адреса; фильтрацию трафика государственных органов и организаций от вредоносного программного обеспечения; оповещение ОАЦ и должностных лиц государственного органа и организации, определенных договором, при обнаружении уязвимостей систем защиты информации, работы вредоносных компьютерных программ в информационных системах этих органа и организации; ограничение доступа государственных органов и организаций (за исключением органов, осуществляющих оперативно-розыскную деятельность, органов прокуратуры и предварительного следствия, органов Комитета государственного контроля, налоговых органов, судов и иных государственных органов и организаций, определяемых ОАЦ) к информации, указанной в части первой пункта 8 Указа Президента Республики Беларусь от 1 февраля 2010 г. N 60, посредством использования списков ограниченного доступа, формируемых уполномоченными государственными органами, поставщиком интернет-услуг, а также с использованием системы специализированных серверов доменных имен. 2. Поставщики интернет-услуг при оказании государственным органам и организациям услуг хостинга обязаны: 2.1. определить и письменно согласовать с ОАЦ политику безопасности для размещения интернет-сайтов на всех видах предоставляемых услуг хостинга; 2.2. осуществлять размещение интернет-сайтов государственных органов и организаций после получения от их владельцев письменного уведомления о назначении администратора(ов) интернет-сайта; 2.3. организовывать хостинг по технологиям "виртуальный хостинг", "виртуальный сервер" или "выделенный сервер" в специально выделенных сетевых сегментах, разделенных средствами межсетевого экранирования; 2.4. осуществлять хостинг интернет-сайтов государственных органов и организаций, не предоставивших аттестат соответствия на систему защиты информации, только по технологиям "выделенный сервер" и "виртуальный сервер"; 2.5. предоставлять доступ к административной части интернет-сайтов и серверам электронной почты государственных органов и организаций только по портам протоколов транспортного уровня с определенного перечня сетевых адресов, определенных в договоре на оказание интернет-услуг. При этом использовать сертифицированные или прошедшие государственную экспертизу средства защиты информации, реализующие защищенные протоколы обмена, или обеспечить организацию удаленного доступа через защищенные протоколы обмена посредством соединения, не имеющего выход в сеть Интернет; 2.6. осуществлять полное резервное копирование информации интернет-сайтов в соответствии с политикой безопасности; 2.7. предоставлять систему обмена электронной почтой с возможностью блокирования незапрашиваемой информации (спама); 2.8. обеспечить функционирование системы аудита и протоколирования событий безопасности интернет-сайтов. Журналы аудита должны содержать сведения о функционировании серверного и телекоммуникационного оборудования, программного обеспечения, средств защиты и контроля защищенности информации. Срок хранения данной информации составляет не менее одного года; 2.9. обеспечить в соответствии с политикой безопасности непрерывный мониторинг работоспособности интернет-сайтов, серверов, телекоммуникационного оборудования, средств защиты информации с оповещением администратора безопасности и ОАЦ о нарушениях функционирования системы защиты информации; 2.10. устранять выявленные нарушения безопасности интернет-сайтов в соответствии с требованиями политики безопасности. При невозможности устранения указанных нарушений собственными силами в течение одного дня информировать ОАЦ и администраторов соответствующих интернет-сайтов. |
Новости законодательства
Новости Спецпроекта "Тюрьма"
Новости сайта
Новости Беларуси
Полезные ресурсы
Счетчики
|