Ваш гид в законодательстве Республики Беларусь

Главная  >  Нормативные акты  >  Приказы РБ  >  Приказ №151 от 12.10.2018

Печать

Приказ РБ 151 12.10.2018 Об утверждении Положения об обеспечении безопасности критически важных объектов информатизации

ПРИКАЗ ОПЕРАТИВНО-АНАЛИТИЧЕСКОГО ЦЕНТРА ПРИ ПРЕЗИДЕНТЕ РЕСПУБЛИКИ БЕЛАРУСЬ

12 октября 2018 г. № 151

Об утверждении Положения об обеспечении безопасности критически важных объектов информатизации

На основании пункта 6 Положения об отнесении объектов информатизации к критически важным и обеспечении безопасности критически важных объектов информатизации, утвержденного Указом Президента Республики Беларусь от 25 октября 2011 г. № 486 «О некоторых мерах по обеспечению безопасности критически важных объектов информатизации», ПРИКАЗЫВАЮ:

1.Утвердить прилагаемое Положение об обеспечении безопасности критически важных объектов информатизации.

2.Установить, что приведение в соответствие с настоящим приказом систем безопасности критически важных объектов информатизации, включенных в Государственный реестр критически важных объектов информатизации до вступления в силу данного приказа, не требуется.

3.Настоящий приказ вступает в силу с 30 октября 2018 г.

Начальник    А.Ю.Павлюченко

 

УТВЕРЖДЕНО

Приказ

Оперативно-аналитического центра при

Президенте Республики Беларусь

12.10.2018 № 151

 

ПОЛОЖЕНИЕ

об обеспечении безопасности критически важных объектов информатизации

1.В настоящем Положении устанавливается порядок организации мероприятий по обеспечению безопасности критически важных объектов информатизации (далее – КВОИ), включая мероприятия по созданию системы безопасности КВОИ правового, организационного и технического характера, мониторингу угроз безопасности КВОИ и реагированию на такие угрозы.

2.Для целей настоящего Положения применяются термины и их определения в значениях, определенных Законом Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации», Положением об отнесении объектов информатизации к критически важным и обеспечении безопасности критически важных объектов информатизации, утвержденным Указом Президента Республики Беларусь от 25 октября 2011 г. № 486 «О некоторых мерах по обеспечению безопасности критически важных объектов информатизации» , Положением о технической и криптографической защите информации в Республике Беларусь, утвержденным Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации» , техническими нормативными правовыми актами, а также следующие термины и их определения:

активы КВОИ – входящие в состав КВОИ технические, программные, программно- аппаратные средства (в том числе средства защиты информации), обрабатываемая информация, системы управления информационными, производственными и (или) технологическими процессами;

владелец КВОИ – субъект, реализующий права владения, пользования и распоряжения КВОИ в соответствии с законодательством;

информационная безопасность КВОИ – состояние защищенности активов КВОИ от угроз безопасности КВОИ и рисков безопасности КВОИ;

риск безопасности КВОИ – вероятность реализации угроз безопасности активам КВОИ, которая может повлечь нарушение или прекращение их функционирования;

событие безопасности КВОИ – установленный факт реализации угроз безопасности КВОИ.

3.Для выполнения мероприятий по обеспечению безопасности КВОИ владельцем КВОИ назначается подразделение и (или) должностное лицо (работник), имеющее высшее образование в области технической и (или) криптографической защиты информации либо высшее или профессионально-техническое образование и прошедшее переподготовку или повышение квалификации по вопросам технической и (или) криптографической защиты информации в порядке, установленном законодательством (далее – служба безопасности (уполномоченный работник)).

4.Владельцы КВОИ разрабатывают и принимают (издают) локальные нормативные правовые акты, в которых определяются задачи и функции службы безопасности (уполномоченного работника) по вопросам обеспечения безопасности КВОИ, а также устанавливается порядок:

взаимодействия службы безопасности (уполномоченного работника) с иными работниками владельца КВОИ по вопросам обеспечения безопасности КВОИ;

согласования со службой безопасности (уполномоченным работником) приема, увольнения, перевода, перемещения работников, трудовые обязанности которых предусматривают эксплуатацию КВОИ, по вопросам обеспечения безопасности КВОИ;

проведения инструктажей, мероприятий по информированию и выработке практических навыков действий по обеспечению безопасности КВОИ;

защиты сведений, содержащихся в эксплуатационной документации на КВОИ, документации на систему безопасности КВОИ, иной информации, распространение и (или) предоставление которой ограничено, от ее разглашения или несанкционированного доступа к ней со стороны третьих лиц;

взаимодействия владельца КВОИ с иными юридическими и физическими лицами, в том числе при заключении и исполнении договоров, по вопросам обеспечения безопасности КВОИ.

5.Для обеспечения безопасности КВОИ создается система безопасности КВОИ, включающая комплекс мероприятий правового, организационного и технического характера, в том числе мероприятий по мониторингу угроз безопасности КВОИ и реагированию на такие угрозы.

6.Система безопасности КВОИ:

разрабатывается в целях оценки рисков безопасности КВОИ, обеспечения правильного выбора и последующей актуализации средств управления безопасностью КВОИ на всех стадиях его жизненного цикла, а также эффективности внутреннего контроля;

документально оформляется в виде формализованных правил и процедур управления безопасностью КВОИ.

7.В ходе создания системы безопасности КВОИ осуществляются:

7.1.определение главных и вспомогательных процессов основной деятельности владельца КВОИ;

7.2.определение внутренних (организационная структура, информационные системы, информационные потоки и процессы) и внешних аспектов (взаимосвязи с контрагентами и другое), оказывающих влияние на обеспечение безопасности КВОИ;

7.3.определение целей обеспечения безопасности КВОИ, совместимых с процессами деятельности владельца КВОИ и стратегией (концепцией, планом) развития;

7.4.разработка политики информационной безопасности, содержащей: цели и процессы информационной безопасности;

перечень требований информационной безопасности и обязательства сотрудников по их выполнению;

организационную структуру системы безопасности;

обязательства по постоянному совершенствованию системы безопасности; приоритетные направления информационной безопасности;

ссылки на нормы актов законодательства, в том числе технических нормативных правовых актов, а также на локальные нормативные правовые акты;

7.5.определение физических и логических границ области применения системы безопасности (формуляр, паспорт) с использованием структурной и логической схем КВОИ. Структурная схема отражает расположение физических устройств с номерами портов, а также физических линий связи, соединяющих физические интерфейсы технических, программно-аппаратных средств обработки информации. В логической схеме отражаются информационные системы, направления потоков данных, а также спецификация используемых технологий и протоколов, списки VLAN, IP-адреса устройств;

7.6.инвентаризация (выявление и учет), а также определение степени важности (исходя из конфиденциальности, целостности и доступности) следующих активов КВОИ:

программно-аппаратных средств и физических устройств; программного обеспечения (прикладного и системного); средств защиты информации;

информационных систем и информационных сетей;

средств обработки информации (потоков информации), средств коммуникации; информации, обрабатываемой на КВОИ, в том числе информации о настройках

оборудования;

7.7.определение работников, ответственных за использование активов КВОИ;

7.8.определение угроз безопасности КВОИ;

7.9.классификация (категорирование) активов КВОИ по степени их значимости для основной деятельности владельца КВОИ;

7.10.классификация КВОИ в соответствии с СТБ 34.101.52-2016 «Информационные технологии. Методы и средства безопасности. Критически важные объекты информатизации. Классификация»;

7.11.разработка методологии оценки рисков безопасности КВОИ (методики оценки рисков). Владельцы КВОИ вправе разрабатывать методику оценки рисков в соответствии с СТБ 34.101.70-2016 «Информационные технологии. Методы и средства безопасности. Методика оценки рисков информационной безопасности в информационных системах»;

7.12.оценка рисков безопасности КВОИ;

7.13.определение средств управления, необходимых для реализации выбранного варианта обработки рисков безопасности КВОИ (план обработки рисков);

7.14.согласование плана обработки рисков с руководством владельца КВОИ.

8.При создании системы безопасности КВОИ владельцы КВОИ вправе применять требования, предъявляемые к системе менеджмента информационной безопасности в соответствии с СТБ ISO/IEC 27001-2016 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

9.По результатам создания системы безопасности владельцем КВОИ проводится оценка полноты и качества выполненных мероприятий на предмет того, что:

определена политика информационной безопасности;

определены приоритетные цели, задачи и направления деятельности организации; распределены и согласованы обязанности работников и их ответственность по

вопросам обеспечения безопасности КВОИ;

разработаны, приняты (изданы) локальные нормативные правовые акты, определяющие направления информационной безопасности КВОИ (политика информационной безопасности, формуляр (паспорт), реестр активов КВОИ, методика оценки рисков, план обработки рисков и другие), и доведены до сведения сотрудников, имеющих отношение к активам КВОИ, и третьих лиц, с которыми осуществляется взаимодействие;

определены условия конфиденциальности для обслуживающего персонала и третьих лиц;

представители службы безопасности (уполномоченный работник), должностные

лица, ответственные за использование активов КВОИ, прошли обучение и осведомлены о правилах работы на КВОИ;

идентифицированы активы КВОИ, определены важные активы, необходимые для выполнения основных задач КВОИ;

контроль активов КВОИ осуществляется на всех этапах их жизненного цикла; ведется учет и актуализированы схемы  взаимодействия с внешними

информационными системами;

обеспечено резервирование технических, программных, программно-аппаратных активов КВОИ, каналов связи (передачи данных), средств защиты информации;

определено максимальное допустимое время простоя КВОИ;

определены и задокументированы угрозы безопасности КВОИ, уязвимости его активов;

разработана методика оценки рисков;

разработан и согласован с руководством владельца КВОИ план обработки рисков. При этом должны быть определены критерии принятия рисков с учетом отраслевой принадлежности владельца КВОИ;

определены средства управления системой безопасности КВОИ и контролируется их функционирование и актуальность;

контролируется привлечение третьих лиц к разработке программного обеспечения; доступ к активам КВОИ предоставляется только заранее определенному кругу лиц; определен порядок физического доступа к активам КВОИ;

удаленный доступ к активам КВОИ допускается только в исключительных случаях (в целях выполнения технологических процессов на КВОИ, оперативного реагирования на возникновение угроз безопасности КВОИ) при условии обеспечения защиты передаваемых (получаемых) данных;

осуществляется контроль удаленного доступа к активам КВОИ, хранение сведений об изменении прав доступа и совершенных действиях;

определен порядок перемещения активов КВОИ через физические границы КВОИ; контролируется целостность информационной сети (контроль за оборудованием и

информационными потоками, настройками коммутационного оборудования и средств защиты информации);

задокументированы конфигурации активов КВОИ и осуществляется контроль изменений этих конфигураций;

внедрены процедуры резервного копирования и восстановления из резервных копий, резервные данные защищены в процессе их хранения;

определены правила уничтожения информации;

определен порядок получения разрешения службы безопасности (уполномоченного работника) на использование новых средств обработки информации;

ограничивается и контролируется порядок обращения с носителями информации; силовые и коммуникационные сети, по которым передается информация или

оказываются услуги, защищены от несанкционированного доступа и воздействия; используются              средства                защиты               информации    от            вредоносного     программного

обеспечения;

обеспечена защита информации, распространение и (или) предоставление которой ограничено, в соответствии с законодательством.

10.В целях проведения мониторинга угроз безопасности КВОИ и реагирования на эти угрозы владелец КВОИ:

осуществляет постоянный контроль состояния активов КВОИ в целях выявления потенциальных событий информационной безопасности КВОИ;

разрабатывает политику хранения журналов событий безопасности КВОИ, включая порядок и срок хранения журналов;

проводит анализ и оценку угроз безопасности КВОИ; обеспечивает синхронизацию времени с единым источником;

разрабатывает план реагирования на события, которые могут стать причиной прерывания основных технологических процессов, оказания информационных услуг (далее – план реагирования), и проводит актуализацию плана реагирования не реже одного раз в год, а также в случае изменения нормативных правовых актов, структуры КВОИ, появления новых угроз безопасности КВОИ;

определяет периодичность проведения мероприятий по оповещению и отработке действий работников владельца КВОИ в случае реализации угроз безопасности КВОИ в соответствии с планом реагирования;

разрабатывает и внедряет методологию реагирования на события безопасности КВОИ, обеспечивающую реагирование в сроки, определенные эксплуатационной документацией на КВОИ и локальными нормативными правовыми актами, в целях исключения (снижения до приемлемого уровня) ущерба владельцу КВОИ. Методология реагирования на события безопасности КВОИ включает процедуры оповещения, реагирования и восстановления;

осуществляет регистрацию и обработку событий безопасности КВОИ;

разрабатывает план восстановления КВОИ, в котором учтены события безопасности КВОИ;

представляет в Оперативно-аналитический центр при Президенте Республики Беларусь сведения о событиях безопасности КВОИ;

осуществляет техническое обслуживание и ремонт активов КВОИ.

11.В целях определения соответствия функциональных характеристик КВОИ требованиям, установленным эксплуатационной документацией на КВОИ и техническими нормативными правовыми актами, осуществляется внутренний контроль.

Внутренний контроль осуществляется владельцем КВОИ не реже одного раза в год.

Результаты внутреннего контроля оформляются актом, который составляется в десятидневный срок с момента завершения мероприятий внутреннего контроля в двух экземплярах, один из которых в течение трех рабочих дней направляется в Оперативно- аналитический центр при Президенте Республики Беларусь.

12.Контроль проводится службой безопасности (уполномоченным работником) во взаимодействии с работниками, ответственными за использование активов КВОИ.

13.Внутренний контроль проводится при изменении условий, оказывающих влияние на функционирование КВОИ либо системы безопасности, и включает в себя следующие этапы:

анализ соответствия системы безопасности КВОИ требованиям, предусмотренным в пункте 9 настоящего Положения;

формирование замечаний (недостатков), выявленных в процессе контроля, и предложений по их устранению;

оформление акта по результатам контроля.


Другие НПА

 Постановление Минтранс РБ №13 от 19.04.2018 О внесении изменений и дополнений в постановление Министерства транспорта и коммуникаций Республики Беларусь от 25 ноября 2010 г. № 82 Постановление Минтранс РБ №29 от 26.12.2018 О требованиях к эксплуатационному состоянию и качеству содержания автомобильных дорог Постановление Минтранс РБ №25 от 22.11.2018 Об утверждении программы обучающих курсов на подтверждение профессиональной компетентности водителей, выполняющих международные автомобильные перевозки грузов Постановление Минтранс РБ №27 от 30.11.2018 О признании утратившими силу постановлений Министерства транспорта и коммуникаций Республики Беларусь от 15 декабря 2004 г. № 56 и от 31 октября 2007 г. № 64 Постановление Минтранс РБ №1/4 от 24.01.2019 О признании утратившим силу постановления Министерства транспорта и коммуникаций Республики Беларусь и Министерства иностранных дел Республики Беларусь от 17 января 2007 г. № 2/2 Постановление Минтранс РБ №11 от 15.03.2019 О признании утратившим силу постановления Министерства транспорта и коммуникаций Республики Беларусь от 5 июля 2007 г. № 38 Постановление Минтранс РБ №20 от 01.04.2019 О признании утратившим силу постановления Министерства транспорта и коммуникаций Республики Беларусь от 19 июня 2015 г. № 21 Постановление Минтранс РБ №18 от 29.03.2019 О признании утратившим силу постановления Министерства транспорта и коммуникаций Республики Беларусь от 30 ноября 2018 г. № 26 Постановление Минтранс РБ №27 от 30.04.2019 О признании утратившим силу приказа Министерства транспорта и коммуникаций Республики Беларусь от 20 октября 2004 г. № 277-Ц Постановление Минтранс РБ №28 от 20.05.2019 Об изменении постановления Министерства транспорта и коммуникаций Республики Беларусь от 30 ноября 2018 г. № 28