Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
G-Clouds Architecture and Security (fragment of course materials)
Information Security Legislations (BY)
1. Соответствие требованиям
законодательства Республики Беларусь
в области защиты информации
1. Иерархия и структура требований нормативных правовых актов.
2. Зависимости между требованиями, область применения и исключения.
3. Правовой режим информации.
4. Права и обязанности субъектов информационных отношений по защите
информации.
5. Техническая и криптографическая защита информации в информационных
системах, предназначенных для обработки ограниченного распространения.
6. Порядок проектирования, создания и аудита систем информационной
безопасности критически важных объектов информатизации.
7. Установление режима коммерческой тайны и защита конфиденциальной
информации в организации.
2. Иерархия требований
1. Конституция
2. Указы / декреты Президента
3. Кодексы
4. Законы
5. Постановления Совмина
6. Приказы ОАЦ
Закон Республики Беларусь
от 17 июля 2018 г. № 130-З
«О нормативных правовых актах»
Статья 23.
Юридическая сила нормативных
правовых актов и локальных актов
3. Закон РБ от 10.11.2008 г. № 455-З
«Об информации, информатизации и
защите информации»
Положение о порядке технической и криптографической защиты информации, обрабатываемой на
критически важных объектах информатизации
Приказ ОАЦ от 20.02.2020 № 66
Положение о технической и криптографической защите информации
Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019
№ 449)
Положение о порядке технической и криптографической защиты информации в информационных системах,
предназначенных для обработки информации, распространение и (или) предоставление которой
ограничено
Приказ ОАЦ от 20.02.2020 № 66
Закон РБ от 05.01.2013 г. № 16-З
«О коммерческой тайне»
Закон РБ …….
«О персональных данных»
Когда-нибудь будет)
Положение о порядке аттестации систем защиты информации информационных систем, предназначенных
для обработки информации, распространение и (или) предоставление которой ограничено
Приказ ОАЦ от 20.02.2020 № 66
О служебной информации ограниченного распространения и информации, составляющей
коммерческую тайну
Постановление Совета Министров РБ от 12 августа 2014 г. № 783
Технический регламент Республики Беларусь «Информационные технологии. Средства
защиты информации. Информационная безопасность» (ТР 2013/027/BY)
Постановление Совета Министров РБ 15.05.2013 № 375 (в редакции постановления Совета
Министров РБ 12.03.2020 № 145)
Перечень государственных
стандартов, взаимосвязанных
с техническим регламентом
Республики Беларусь
«Информационные
технологии. Средства защиты
информации.
Информационная
безопасность» (TP
2013/027/BY)
Приказ ОАЦ от 12.03.2020 № 77
4. Закон Республики Беларусь от 10 ноября 2008 г. № 455-З
«Об информации, информатизации и защите информации»
1. Правовой режим информации.
2. Основные требования и меры по защите информации.
3. Права и обязанности субъектов информационных
отношений по защите информации.
5. Виды информации
ИНФОРМАЦИЯ
распространение и (или)
предоставление которой
ограничено
общедоступная
персональные данные коммерческая тайна
профессиональная тайна банковская тайна
служебная информация
ограниченного
распространения
государственные секреты
Закон Республики Беларусь от 10
ноября 2008 г. № 455-З
«Об информации, информатизации
и защите информации»
ГЛАВА 3
6. Основные требования по защите
информации (ст.28)
Требования по ЗИ в государственных информационных системах, а также информационных системах,
содержащих информацию, распространение и (или) предоставление которой ограничено, определяются
законодательством Республики Беларусь.
Информация, распространение и (или) предоставление которой ограничено, не отнесенная
к государственным секретам, должна обрабатываться в информационных системах с
применением системы ЗИ, аттестованной в порядке, установленном ОАЦ.
Для создания системы ЗИ используются средства технической и ЗИ, имеющие сертификат соответствия,
выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное
экспертное заключение по результатам государственной экспертизы, порядок проведения которой
определяется ОАЦ.
7. Меры по защите информации (ст.29)
Правовые
• заключаемые
обладателем информации
с пользователем
информации договоры, в
которых устанавливаются
условия пользования
информацией, а также
ответственность сторон по
договору за нарушение
указанных условий
Организационные
• обеспечение особого
режима допуска на
территории (в
помещения), где может
быть осуществлен доступ
к информации
(материальным
носителям информации),
а также разграничение
доступа к информации
по кругу лиц и характеру
информации
Технические
• использование средств
технической и
криптографической
защиты информации, а
также меры по контролю
защищенности
информации
8. Права и обязанности субъектов
Обладатель информации
• обязан принимать меры по
защите информации, если такая
обязанность установлена
законодательными актами
Республики Беларусь
Владелец программно-
технических средств,
информационных ресурсов,
информационных систем и
информационных сетей
• обязан осуществлять меры по
защите информации, если такая
обязанность установлена
законодательными актами
Республики Беларусь
9. Положение о технической и криптографической защите информации
Указ Президента РБ от 16.04.2013 № 196
(в редакции Указа Президента РБ от 09.12.2019 № 449)
1. Государственное регулирование и управление в сфере технической и
криптографической ЗИ
2. Основные положения по организации технической и
криптографической ЗИ
3. Особенности технической и криптографической ЗИ, обрабатываемой
на критически важных объектах информатизации (КВОИ)
4. Контроль за технической и криптографической ЗИ
10. Область применения Положения
Требования Положения обязательны для
применения:
владельцами КВОИ
собственниками
(владельцами) ИС, в
которых
обрабатывается
служебная
информация
ограниченного
распространения
собственниками
(владельцами) ИС, в
которых
обрабатываются
информация о
частной жизни
физического лица и
перс данные
собственниками
(владельцами) ИС, в
которых
обрабатываются ЭД
гос органами,
являющимися
собственниками
(владельцами) ИС,
предназначенных для
обработки
информации,
распространение и
(или) предоставление
которой ограничено
Постановление СовМин РБ
от 12.08.2014 г. № 783
За исключением ИС
связанных с блокчейн
11. Организация работ по ЗИ
Организации – собственники (владельцы) информационных систем, владельцы критически важных
объектов информатизации, организации, оказывающие услуги по распространению открытых ключей
проверки электронной цифровой подписи:
• обеспечивают проведение мероприятий по проектированию и созданию систем ЗИ
• организуют и проводят комплекс организационно-технических мероприятий по аттестации систем ЗИ
• организуют и проводят комплекс мероприятий по проектированию, созданию и аудиту систем ИБ
КВОИ
• осуществляют методическое руководство проведением мероприятий по ЗИ организациями,
находящимися в их подчинении
• осуществляют сбор, анализ, хранение не менее одного года и представление в ОАЦ сведений о
событиях ИБ, в порядке и объемах, определяемых ОАЦ
• представляют в ОАЦ сведения о состоянии технической и криптографической ЗИ в порядке и
объемах, определяемых ОАЦ
13. Предоставление в ОАЦ сведений о ЗИ
Ежегодно до 1 февраля года, следующего за отчетным:
• сведения об ИС, предназначенных для обработки информации,
распространение и (или) предоставление которой ограничено,
по форме согласно приложению 2;
• сведения о подразделениях защиты информации или иных
подразделениях (должностных лицах), ответственных за
обеспечение защиты информации, с указанием наименования
подразделения, фамилии, собственного имени, отчества (если
таковое имеется) должностного лица и работников таких
подразделений, уровня образования в области защиты
информации, переподготовки или повышения квалификации
по вопросам технической и криптографической защиты
информации, а также контактных данных;
Положение о порядке представления в Оперативно-аналитический центр при
Президенте Республики Беларусь сведений о событиях информационной безопасности,
состоянии технической и криптографической защиты информации
Приказ Оперативно-аналитического центра при Президенте Республики Беларусь
20.02.2020 № 66
14. Предоставление в ОАЦ сведений о ЗИ
• копии аттестата соответствия
системы защиты информации
информационной системы
требованиям по защите
информации, технического
отчета и протокола
испытаний
не позднее десяти
календарных дней
со дня
оформления
(получения)
аттестата
соответствия СЗИ:
Положение о порядке представления в Оперативно-аналитический центр при
Президенте Республики Беларусь сведений о событиях информационной безопасности,
состоянии технической и криптографической защиты информации
Приказ Оперативно-аналитического центра при Президенте Республики Беларусь
20.02.2020 № 66
15. Предоставление в ОАЦ сведений о ЗИ
• сведения о событиях
информационной безопасности, в том
числе о фактах нарушения или
прекращения функционирования
информационной системы,
нарушения конфиденциальности,
целостности, подлинности,
доступности и сохранности
информации
в произвольной
форме
в течение суток
с момента
выявления
(обнаружения)
Положение о порядке представления в Оперативно-аналитический центр при
Президенте Республики Беларусь сведений о событиях информационной безопасности,
состоянии технической и криптографической защиты информации
Приказ Оперативно-аналитического центра при Президенте Республики Беларусь
20.02.2020 № 66
16. Владельцы КВОИ представляют в ОАЦ:
формуляр КВОИ по форме согласно приложению 1 – не позднее пяти
рабочих дней после завершения мероприятий
по созданию системы ИБ КВОИ и (или) изменения сведений, указанных
в формуляре;
результаты аудита системы ИБ КВОИ – не позднее чем через год после
завершения мероприятий по созданию системы ИБ КВОИ и далее
ежегодно;
сведения о событиях ИБ, в том числе о фактах возникновения угроз ИБ
КВОИ - в произвольной форме в течение суток с момента выявления
(обнаружения).
Положение о порядке представления в Оперативно-аналитический центр при
Президенте Республики Беларусь сведений о событиях информационной безопасности,
состоянии технической и криптографической защиты информации
Приказ Оперативно-аналитического центра при Президенте Республики Беларусь
20.02.2020 № 66
17. Еще требования
12. При передаче служебной информации ограниченного распространения по
сетям электросвязи общего пользования данная информация должна быть
защищена с использованием средств криптографической защиты
информации, обеспечивающих линейное и (или) предварительное
шифрование передаваемой информации.
Криптографическая защита служебной информации ограниченного
распространения осуществляется только с применением программно-
аппаратных средств криптографической защиты информации.
Дополнительные организационные и технические меры по
криптографической защите указанной информации определяются ОАЦ.
18. Еще требования
13. При осуществлении технической и криптографической защиты
информации используются средства технической и криптографической
защиты информации, имеющие сертификат соответствия Национальной
системы подтверждения соответствия Республики Беларусь или
положительное экспертное заключение по результатам государственной
экспертизы, проводимой ОАЦ.
19. Контроль ЗИ со стороны ОАЦ
Контроль осуществляется ОАЦ в форме проверок, проводимых в соответствии с планом проверок
технической и криптографической защиты информации
• Без включения в план, указанный в части первой настоящего пункта, проверки организаций могут
назначаться начальником ОАЦ или его уполномоченным заместителем
• О назначении проверки организация письменно уведомляется не позднее десяти рабочих дней до начала
ее проведения. Уведомление должно содержать сведения о дате начала проверки, сроках ее проведения,
составе комиссии, а также о вопросах, подлежащих проверке.
• Для проведения проверки на каждого члена комиссии оформляется предписание. Предписание
подписывается начальником ОАЦ или его уполномоченным заместителем и заверяется гербовой печатью
ОАЦ.
• Для проведения проверки разрабатывается план проверочных мероприятий, который утверждается
начальником ОАЦ или его уполномоченным заместителем.
• Проверка начинается с внесения предписания и представления комиссии руководителю организации или
его уполномоченному заместителю.
20. Контроль ЗИ со стороны ОАЦ
В ходе проверки оцениваются:
• наличие подразделения защиты информации или иного подразделения (должностного лица),
ответственного за обеспечение защиты информации, их задачи и функции в части обеспечения
технической и криптографической защиты информации;
• наличие и содержание: организационно-распорядительных документов, регламентирующих
вопросы технической и криптографической защиты информации в организации; документов,
определяющих порядок и содержащих результаты проведения мероприятий по созданию
систем защиты информации информационных систем, предназначенных для обработки
информации, распространение и (или) предоставление которой ограничено, аттестации
указанных систем защиты информации, созданию систем информационной безопасности
критически важных объектов информатизации и их аудиту;
• эффективность и достаточность технических и криптографических мер защиты информации в
реальных условиях эксплуатации.
22. Контроль ЗИ со стороны ОАЦ
Проверка регулятора
план проверок https://oac.gov.by/activity/technical-and-cryptographic-information-
protection/technical-and-cryptographic-information-security-audit-plan, но могут быть и
внеплановые
предписание
административная ответственность
Статья 23.1. Неисполнение письменного требования (предписания)
«Статья» Руководителю + Штраф до 20 базовых
23. Техническая и криптографическая защита информации в
информационных системах, предназначенных для
обработки ограниченного распространения
24. Положение о порядке технической и криптографической защиты информации
в информационных системах, предназначенных для обработки информации,
распространение и (или) предоставление которой ограничено
Приказ ОАЦ от 20.02.2020 № 66
Глава 1 - Общие положения
Глава 2 - Проектирование системы защиты информации
Глава 3 - Создание системы защиты информации
Глава 4 - Особенности эксплуатации информационной системы с применением
системы защиты информации
Приложение 1 - Классы типовых информационных систем
Приложение 2 - Акт отнесения информационной системы к классу типовых
информационных систем (форма)
Приложение 2 - Перечень требований к системе защиты информации, подлежащих
включению в техническое задание
Приложение 4 - Требования к организации взаимодействия информационных систем
проектирование
создание
эксплуатация
модернизация
25. Общие положения
Комплекс мероприятий по технической и криптографической ЗИ включает:
проектирование системы защиты информации
создание системы защиты информации
аттестацию системы защиты информации
обеспечение функционирования системы защиты информации в процессе эксплуатации информационной системы
обеспечение защиты информации в случае прекращения эксплуатации информационной системы.
26. Общие положения
5. При выполнении специализированными организациями работ по проектированию и
созданию систем защиты информации с использованием открытых каналов передачи данных
(сетей электросвязи общего пользования) должны применяться средства криптографической
защиты информации, обеспечивающие линейное шифрование передаваемой информации.
6. Перечень работ по проектированию и созданию системы защиты информации может
предусматриваться в техническом задании на создание информационной системы.
27. Классификация ИС
• До проведения работ по проектированию системы защиты
информации собственник (владелец) информационной системы
осуществляет категорирование информации, которая будет
обрабатываться в информационной системе, в соответствии с
законодательством об информации, информатизации и защите
информации, а также отнесение информационной системы к
классу типовых информационных систем согласно приложению
1.
• Отнесение информационной системы к классу типовых
информационных систем оформляется актом по форме согласно
приложению 2.
28. Категорирование информации
ИНФОРМАЦИЯ
распространение и (или)
предоставление которой
ограничено
общедоступная
персональные данные коммерческая тайна
профессиональная тайна банковская тайна
служебная информация
ограниченного
распространения
государственные секреты
Закон Республики Беларусь от 10
ноября 2008 г. № 455-З
«Об информации, информатизации
и защите информации»
ГЛАВА 3
категорирование информации, которая будет
обрабатываться в информационной системе, в
соответствии с законодательством об информации,
информатизации и защите информации
29. Классификация ИС
Группа Общедоступная информация Информация, распространение и (или)
предоставление которой ограничено
Подгруппа Изолированная Открытая Изолированная Открытая
Категория частн гос частн гос фл юл дсп фл юл дсп
Класс 6-частн 6-гос 5-частн 5-гос 4-фл 4-юл 4-дсп 3-фл 3-юл 3-дсп
частн - негосударственные ИС;
гос - государственные ИС;
изолированная - не имеет подключений к открытым каналам передачи данных;
открытая - подключена к открытым каналам передачи данных;
фл - информация о частной жизни физического лица и персональные данные, иная информация,
составляющая охраняемую законом тайну физического лица;
юл - информация, составляющая коммерческую и иную охраняемую законом тайну юридического лица,
распространение и (или) предоставление которой ограничено (за исключением гос секретов и ДСП);
дсп - служебная информация ограниченного распространения.
Приложение 1
Классы типовых
информационных
систем
?
32. Проектирование СЗИ
На этапе ПРОЕКТИРОВАНИЯ СЗИ осуществляются:
анализ структуры ИС и информационных потоков (внутренних и внешних) в целях определения состава (количества) и мест
размещения элементов информационной системы (аппаратных и программных), ее физических и логических границ;
разработка (корректировка) политики информационной безопасности организации;
определение требований к системе защиты информации в техническом задании на создание системы защиты информации;
выбор средств технической и криптографической защиты информации;
разработка (корректировка) общей схемы системы защиты информации.
33. Анализ структуры ИС
Проектирование СЗИ
Информационная система N
Подсистема N
Подсистема N
Подсистема N
Подсистема
интеграции
Смежные
системы
Модуль N Модуль N
Модуль N Модуль N
Protocol/port
Protocol/port
Protocol/port
Protocol/port
34. Разработка политики ИБ
Политика информационной безопасности
организации должна содержать:
цели и принципы защиты
информации в организации;
перечень информационных
систем, отнесенных к
соответствующим классам
типовых информационных систем,
а также отдельно стоящих
электронных собственности или
ином законном основании, с
указанием подразделения защиты
информации или иного
подразделения (должностного
лица), ответственного за
обеспечение защиты
информации;
обязанности пользователей
информационной системы;
порядок взаимодействия с иными
информационными системами (в
случае предполагаемого
взаимодействия), в том числе при
осуществлении информационных
отношений на правах операторов,
посредников, пользователей
информационных систем и
обладателей информации.
Проектирование СЗИ
35. Разработка технического задания
Техническое задание должно содержать:
наименование информационной системы с указанием присвоенного ей
класса типовых информационных систем;
требования к системе защиты информации в зависимости от
используемых технологий и класса типовых информационных систем на
основе перечня согласно приложению 3;
сведения об организации взаимодействия с иными информационными
системами (в случае предполагаемого взаимодействия) с учетом
требований согласно приложению 4;
требования к средствам криптографической защиты информации;
перечень документации на систему защиты информации.
Разрабатывается собственником
(владельцем) ИС либо лицензиатом ОАЦ
и утверждается собственником
(владельцем) ИС.
Собственник (владелец) ИС вправе не
включать в техническое задание
отдельные обязательные требования к
СЗИ при отсутствии в ИС
соответствующего объекта (технологии)
либо при условии согласования с ОАЦ
закрепления в таком техническом
задании обоснованных компенсирующих
мер
36. Перечень требований к СЗИ
Приложение 3 к Приказу ОАЦ №66
Перечень требований к СЗИ, подлежащих включению в ТЗ
Аудит безопасности
Требования по обеспечению защиты данных
Требования по обеспечению идентификации и аутентификации
Требования по защите системы защиты информации информационной
системы
Обеспечение криптографической защиты информации
Дополнительные требования по обеспечению защиты информации в
виртуальной инфраструктуре
Иные требования
37. Перечень требований к СЗИ
Приложение 3 к Приказу ОАЦ №66
Примечания:
1. Обозначения «4-фл», «4-
юл», «4-дсп», «3-фл», «3-
юл» и «3-дсп»
соответствуют классам
типовых информационных
систем.
2. Требования,
отмеченные знаком «+»,
являются обязательными.
3. Требования,
отмеченные знаком «+/–»,
являются
рекомендуемыми.
39. Перечень требований к СЗИ
Приложение 3 к Приказу ОАЦ №66
Класс
ИС
FW IDS AV EP VPN LM
DLP
3-дсп
3-юл
3-фл
4-дсп
4-юл
4-фл
IDM AM
AV
NET
AV
MAIL
Rout
Rout - Использование маршрутизатора (коммутатора
маршрутизирующего)
FW - Использование межсетевого экрана.
IDS - Обеспечение обнаружения и предотвращения
вторжений в информационной системе.
AV EP - Обеспечение защиты средств вычислительной
техники от вредоносных программ.
AV NET - Обеспечение в реальном масштабе времени
автоматической проверки пакетов сетевого трафика и
файлов данных, передаваемых по сети, и
обезвреживание обнаруженных вредоносных
программ.
AV MAIL - Обеспечение в реальном масштабе времени
автоматической проверки файлов данных,
передаваемых по почтовым протоколам, и
обезвреживание обнаруженных вредоносных
программ.
VPN - Обеспечение конфиденциальности и контроля
целостности информации при ее передаче
посредством сетей электросвязи общего пользования
(средства линейного или предварительного
шифрования).
DLP - Использование системы обнаружения и
предотвращения утечек информации из ИС.
LM - Обеспечение централизованного сбора и
хранения информации о событиях ИБ.
IDM - Обеспечение централизованного управления
учетными записями пользователей ИС.
AM - Автоматизированный контроль за составом
средств вычислительной техники и сетевого
оборудования.
п.10. Собственник (владелец) ИС вправе не включать в техническое задание отдельные
обязательные требования к СЗИ при отсутствии в ИС соответствующего объекта (технологии)
либо при условии согласования с ОАЦ закрепления в таком техническом задании обоснованных
компенсирующих мер
40. Организация взаимодействия с иными ИС
Приложение 4 к Приказу ОАЦ №66
Примечания:
• Под символом «х» понимается физически выделенный канал передачи данных.
• Под символом «о» понимается наличие подключения к открытым каналам передачи данных (в том числе к глобальной компьютерной сети
Интернет).
• При передаче служебной информации ограниченного распространения по сетям электросвязи общего пользования данная информация
должна быть защищена с использованием средств криптографической защиты информации, обеспечивающих линейное и (или)
предварительное шифрование передаваемой информации.
42. Разработка общей схемы СЗИ
Проектирование СЗИ
Общая схема системы защиты информации должна содержать:
наименование информационной системы
класс типовых информационных систем
места размещения средств вычислительной техники, сетевого оборудования,
системного и прикладного программного обеспечения, средств технической и
криптографической защиты информации
физические границы информационной системы
внешние и внутренние информационные потоки и протоколы обмена
защищаемой информацией
43. Проектирование СЗИ
В случае документирования создания информационных систем в соответствии с ГОСТ 34.201-89
«Информационная технология. Комплекс стандартов на автоматизированные системы. Виды,
комплектность и обозначение документов при создании автоматизированных систем» сведения,
указанные в пункте 11 (общая схема СЗИ), могут быть предусмотрены в документах на ИС.
Допускается создание единой системы защиты информации для:
• нескольких информационных систем, функционирующих в общей программно-технической
среде и принадлежащих одному собственнику (владельцу);
• нескольких типовых информационных систем, принадлежащих одному собственнику
(владельцу).
При проектировании системы защиты информации информационной системы, функционирование
которой предполагается на базе информационной системы другого собственника (владельца),
имеющей аттестованную систему защиты информации, может быть предусмотрено применение мер
защиты информации, реализованных в информационной системе этого собственника (владельца).
44. Создание СЗИ
На этапе создания системы защиты информации осуществляются:
внедрение средств технической и криптографической защиты информации,
проверка их работоспособности и совместимости с другими объектами
информационной системы;
разработка (корректировка) документации на систему защиты информации по
перечню, определенному в техническом задании;
реализация организационных мер по защите информации.
45. Внедрение средств ЗИ
Создание СЗИ
В ходе внедрения средств технической и
криптографической защиты информации осуществляются:
их монтаж и наладка в соответствии
с документацией на систему
защиты информации,
рекомендациями изготовителя,
требованиями по совместимости
средств криптографической защиты
информации и ограничениями,
указанными в сертификате
соответствия;
смена реквизитов доступа к
функциям управления и
настройкам, установленным по
умолчанию, либо блокировка
учетных записей, не
предусматривающих смену
указанных реквизитов;
проверка корректности
выполнения такими средствами
требований безопасности в
реальных условиях эксплуатации и
во взаимодействии с другими
объектами информационной
системы.
47. Разработка документации на СЗИ
Создание СЗИ
Документация на СЗИ должна содержать описание способов разграничения
доступа пользователей к объектам информационной системы, а также порядок:
резервирования и уничтожения информации;
защиты от вредоносного программного обеспечения;
использования съемных носителей информации;
использования электронной почты;
обновления средств защиты информации;
осуществления контроля (мониторинга) за функционированием информационной системы и системы
защиты информации;
реагирования на события информационной безопасности и ликвидации их последствий;
управления криптографическими ключами, в том числе требования по их генерации, распределению,
хранению, доступу к ним и их уничтожению.
48. Разработка документации на СЗИ
Создание СЗИ
18. В случае документирования создания информационных систем в соответствии с ГОСТ 34.201-89
«Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и
обозначение документов при создании автоматизированных систем» сведения, указанные в пункте 17 настоящего
Положения, могут быть предусмотрены в документах на информационную систему
49. Функции
Должностные лица и подразделения
Должность 1 Должность 2 Должность 3
Функция №1 О И
Функция №2 Р И И
Функция № N
Обозначения: О – ответственный за выполнение;
У – участвует в выполнении;
И – информируется
Р – принимает решение, утверждает.
Разработка документации на СЗИ
Создание СЗИ
50. Реализация организационных мер по ЗИ
Создание СЗИ
19. Реализация организационных мер по защите информации
осуществляется в целях выполнения требований, изложенных в
документации на систему защиты информации собственника
(владельца) информационной системы, которые доводятся до
сведения пользователей информационной системы под роспись.
Организационные меры по криптографической защите информации
должны включать в себя меры по обеспечению особого режима
допуска на территорию (в помещения), на которой может быть
осуществлен доступ к средствам криптографической защиты
информации и криптографическим ключам (носителям), а также по
разграничению доступа к ним по кругу лиц.
51. Эксплуатация ИС с применением СЗИ
В процессе эксплуатации ИС с применением аттестованной СЗИ осуществляются:
контроль за соблюдением требований, установленных в НПА, документации
на СЗИ собственника (владельца) ИС;
контроль за порядком использования объектов информационной системы;
мониторинг функционирования системы защиты информации;
выявление угроз (анализ журналов аудита), которые могут привести к сбоям,
нарушению функционирования ИС;
резервное копирование информации, содержащейся в информационной
системе;
обучение (повышение квалификации) пользователей информационной
системы.
52. Эксплуатация ИС с применением СЗИ
В случае невозможности устранения выявленных нарушений в
течение пяти рабочих дней с момента их выявления собственники
(владельцы) ИС обязаны:
• прекратить обработку информации, распространение и (или) предоставление
которой ограничено, о чем письменно информировать ОАЦ;
• осуществить доработку системы защиты информации и провести оценку на
предмет необходимости ее повторной аттестации.
В соответствии с документацией на систему защиты информации собственники
(владельцы) информационных систем выявляют и фиксируют нарушения требований по
защите информации, принимают меры по своевременному устранению таких нарушений.
В случае компрометации криптографических ключей средств криптографической защиты
информации собственники (владельцы) информационных систем обязаны
незамедлительно прекратить использование данных средств для обработки информации.
53. Эксплуатация ИС с применением СЗИ
22. Наладочные работы и сервисное обслуживание объектов
информационной системы проводятся с участием подразделения
защиты информации или иного подразделения (должностного лица),
ответственного за обеспечение защиты информации.
23. Модернизация действующих систем защиты информации
осуществляется в порядке, установленном для проектирования и
создания таких систем.
54. Эксплуатация ИС с применением СЗИ
В случае прекращения эксплуатации ИС собственник
(владелец) ИС в соответствии с документацией на СЗИ
принимает меры по:
• защите информации, которая обрабатывалась в информационной системе;
• резервному копированию информации и криптографических ключей (при
необходимости), обеспечению их конфиденциальности и целостности;
• уничтожению (удалению) данных и криптографических ключей с
машинных носителей информации и (или) уничтожению таких носителей
информации.
55. Положение о порядке аттестации систем защиты информации информационных систем,
предназначенных для обработки информации, распространение и (или) предоставление
которой ограничено
Приказ ОАЦ от 20.02.2020 № 66
56. Аттестация СЗИ
Аттестация системы защиты информации – комплекс организационно-
технических мероприятий, в результате которых документально
подтверждается соответствие системы защиты информации
требованиям законодательства об информации, информатизации и
защите информации
Аттестат соответствия системы защиты информации информационной
системы требованиям по защите информации – документ
установленной формы, подтверждающий соответствие системы защиты
информации требованиям законодательства об информации,
информатизации и защите информации
57. Аттестация СЗИ
Аттестация проводится организациями, имеющими специальные разрешения
(лицензии) на деятельность по технической и (или) криптографической защите
информации в части соответствующих составляющих данный вид
деятельности работ.
Собственники (владельцы) информационных систем вправе самостоятельно
проводить аттестацию.
Аттестация проводится в случаях:
- создания системы защиты информации; истечения срока действия аттестата соответствия;
- изменения технологии обработки защищаемой информации;
- изменения технических мер, реализованных при создании системы защиты информации.
58. Аттестация СЗИ
При проведении аттестации
собственником (владельцем) ИС
самостоятельно работы по аттестации
выполняются аттестационной
комиссией, назначенной решением
(приказом, иным документом)
руководителя собственника
(владельца) ИС.
59. Исходные данные для аттестации СЗИ
Аттестация специализированными организациями проводится на основании
следующих исходных данных:
политики информационной безопасности организации;
акта отнесения к классу типовых информационных систем;
технического задания на создание информационной системы* или системы
защиты информации;
общей схемы системы защиты информации;
документации на систему защиты информации;
копий сертификатов соответствия либо экспертных заключений на средства
защиты информации.
* Техническое задание на создание ИС представляется в случае закрепления в нем требований по ЗИ
60. Аттестация СЗИ включает:
разработку программы и методики аттестации;
установление соответствия реального состава и структуры
объектов ИС общей схеме СЗИ;
проверку правильности отнесения ИС к классу типовых ИС,
выбора и применения средств ЗИ;
анализ разработанной документации на СЗИ собственника
(владельца) ИС на предмет ее соответствия требованиям
законодательства об информации, информатизации и защите
информации;
ознакомление с документацией о распределении функций
персонала по организации и обеспечению ЗИ;
проведение испытаний системы защиты информации на
предмет выполнения установленных законодательством
требований по ЗИ;
внешнюю и внутреннюю проверку отсутствия уязвимостей,
сведения о которых подтверждены изготовителями
(разработчиками);
оформление технического отчета и протокола испытаний;
оформление аттестата соответствия.
При аттестации ИС, имеющих подключение к
открытым каналам передачи данных (в том
числе к глобальной компьютерной сети Интернет),
проведение мероприятий, предусмотренных
абзацами седьмым и восьмым пункта 8
настоящего Положения, осуществляется с
использованием генератора сетевого трафика и
средства контроля эффективности защищенности
информации.
Допускается выполнение мероприятий
по аттестации СЗИ, на выделенном
наборе сегментов ИС,
обеспечивающих полную реализацию
технологии обработки защищаемой
информации.
61. Программа и методика аттестации СЗИ
Программа и методика аттестации
разрабатываются на основании исходных
данных и должны содержать:
перечень выполняемых работ,
методов проверки требований
безопасности, реализованных в системе
защиты информации,
используемой контрольной аппаратуры
и тестовых средств,
а также информацию о
продолжительности их выполнения.
Программа и методика аттестации
разрабатываются:
- аттестационной комиссией, назначенной
решением (приказом, иным документом)
руководителя собственника (владельца) ИС,
– при проведении аттестации
собственником (владельцем) ИС
самостоятельно;
- специализированной организацией – при
проведении аттестации такой
организацией. В данном случае
специализированная организация
согласовывает разработанные программу и
методику аттестации с заявителем.
62. Срок проведения аттестации:
• определяется руководителем
собственника (владельца) ИС
при проведении
аттестации собственником
(владельцем) ИС
самостоятельно
• не может превышать 180
календарных дней
при проведении
аттестации
специализированной
организацией
63. В случае выявления недостатков:
После устранения недостатков заявитель вправе повторно обратиться за проведением аттестации в порядке, установленном
настоящим Положением.
При невозможности устранения заявителем выявленных недостатков в указанный срок специализированная организация
отказывает в выдаче аттестата соответствия.
Заявитель должен устранить недостатки, выявленные указанной организацией, в течение 30 календарных дней со дня
получения уведомления.
В случае выявления в процессе проведения аттестации недостатков специализированная организация не позднее чем за 35
календарных дней до истечения срока проведения аттестации направляет заявителю соответствующее уведомление.
64. Оформление аттестата соответствия
Аттестат соответствия подписывается:
руководителем собственника (владельца)
ИС - при проведении аттестации
собственником (владельцем) ИС
самостоятельно;
руководителем специализированной
организации - при проведении аттестации
специализированной организацией.
Аттестат соответствия
оформляется сроком на 5 лет.
66. КВОИ
• ОИ, который на
основании
критериев
отнесения ОИ к
КВОИ и показателей
уровня вероятного
ущерба
национальным
интересам РБ в
политической,
экономической,
социальной,
информационной,
экологической и
иных сферах
включен в
Государственный
реестр КВОИ
Активы КВОИ
• входящие в состав
КВОИ технические,
программные,
программно-
аппаратные
средства (в том
числе средства ЗИ),
обрабатываемая
информация,
системы управления
информационными,
производственными
и (или)
технологическими
процессами
Система ИБ КВОИ
• совокупность
правовых,
организационных и
технических мер,
направленных на
обеспечение ИБ
КВОИ
Угроза ИБ КВОИ
• потенциальная или
реально
существующая
возможность
нанесения ущерба
активам КВОИ,
которая может
повлечь нарушение
или прекращение их
функционирования
Риск ИБ КВОИ
• вероятность
реализации угроз
ИБ активам КВОИ,
которая может
повлечь нарушение
или прекращение их
функционирования
Аудит СИБ КВОИ
• систематический,
независимый и
документированный
процесс получения
информации о
деятельности
владельца КВОИ по
обеспечению ИБ
этого ОИ и
установлению
степени
соответствия
выполнения
требований,
установленных
законодательством,
в том числе
обязательными для
соблюдения ТНПА
Положение о технической и криптографической защите информации
Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа
Президента Республики Беларусь 09.12.2019 № 449)
Термины и определения
67. Положение о технической и криптографической защите информации
Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента
Республики Беларусь 09.12.2019 № 449)
Положение о порядке отнесения объектов
информатизации к критически важным
объектам информатизации
Указ Президента Республики Беларусь 16.04.2013
№ 196 (в редакции Указа Президента Республики
Беларусь 09.12.2019 № 449)
Показатели уровня вероятного ущерба
национальным интересам Республики
Беларусь в политической, экономической,
социальной, информационной,
экологической и иных сферах в случае
создания угроз информационной
безопасности либо в результате
возникновения рисков информационной
безопасности в отношении объекта
информатизации, не предназначенного
для проведения работ с использованием
государственных секретов (его
составляющих элементов)
Приказ Оперативно-аналитического центра
при Президенте Республики Беларусь
20.02.2020 № 65
Форма заключения о соответствии
объекта информатизации критериям
отнесения объектов информатизации к
критически важным и показателям
уровня вероятного ущерба
национальным интересам Республики
Беларусь
Приложение 1 к приказу Оперативно-
аналитического центра при Президенте
Республики Беларусь 20.02.2020 № 66
Положение о порядке технической и
криптографической защиты информации,
обрабатываемой на критически важных
объектах информатизации
Приказ Оперативно-аналитического центра
при Президенте Республики Беларусь
20.02.2020 № 66
Форма заключения об объединении
критически важных объектов
информатизации
Приложение 2 к приказу Оперативно-
аналитического центра при Президенте
Республики Беларусь 20.02.2020 № 66
• Положение о порядке технической и
криптографической защиты информации в
информационных системах,
предназначенных для обработки
информации, распространение и (или)
предоставление которой ограничено;
• Положение о порядке аттестации систем
защиты информации информационных
систем, предназначенных для обработки
информации, распространение и (или)
предоставление которой ограничено
Правовое регулирование отношений в области обеспечения безопасности КВОИ.
68. Мероприятия по ЗИ на КВОИ
должны предусматривать
предотвращение
неправомерного
доступа, уничтожения,
модификации,
копирования,
предоставления и
распространения
информации,
обрабатываемой на
КВОИ;
обнаружение и
предупреждение
угроз ИБ КВОИ и
принятие мер по
предупреждению и
уменьшению рисков
ИБ;
недопущение
реализации угроз ИБ в
отношении активов
КВОИ, а также
восстановление
функционирования
КВОИ в случае такого
воздействия;
безопасное
информационное
взаимодействие КВОИ
с иными ИС.
Положение о технической и криптографической защите информации
Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449)
69. Комплекс мероприятий
по ЗИ на КВОИ
• 16. ТЗИ и КЗИ, обрабатываемой на КВОИ, обеспечивается путем
реализации владельцами КВОИ комплекса организационно-
технических мероприятий по проектированию, созданию и аудиту
систем ИБ этих объектов, мониторингу угроз ИБ, фактов
возникновения рисков ИБ и реагированию на них.
• 17. При реализации комплекса организационно-технических
мероприятий по проектированию и созданию системы ИБ КВОИ
должны учитываться установленные законодательством, в том числе
обязательными для соблюдения ТНПА, требования по обеспечению
промышленной, пожарной, экологической, радиационной и иной
безопасности при эксплуатации соответствующих объектов и (или)
осуществлении технологических процессов.
Положение о технической и криптографической защите информации
Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449)
70. Аудит системы ИБ КВОИ
• 19. В целях определения соответствия системы ИБ требованиям
законодательства, в том числе обязательных для соблюдения
ТНПА в сфере ТЗИ и КЗИ, проводится ее аудит.
• Аудит системы ИБ КВОИ проводится владельцем данного объекта
информатизации не позднее чем через год после завершения
мероприятий по созданию системы ИБ и далее ежегодно.
• Результаты аудита системы ИБ КВОИ оформляются актом.
Положение о технической и криптографической защите информации
Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449)
71. Отнесение ОИ к КВОИ
• 3. Объект информатизации подлежит отнесению к критически
важным при условии его соответствия критериям,
перечисленным в пункте 5 настоящего Положения, и показателям
уровня вероятного ущерба национальным интересам Республики
Беларусь в политической, экономической, социальной,
информационной, экологической и иных сферах (далее –
показатели уровня вероятного ущерба) в случае создания угроз
ИБ либо в результате возникновения рисков ИБ в отношении
объекта информатизации (его составляющих элементов),
утверждаемым ОАЦ по согласованию с заинтересованными
государственными органами.
Положение о порядке отнесения объектов информатизации к КВОИ
Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449)
72. Критерии отнесения ОИ к КВОИ
критерий социальной
значимости – в отношении
ОИ, обеспечивающих
жизнедеятельность
населения (жилищно-
коммунальное хозяйство,
здравоохранение,
образование, труд,
занятость и социальная
защита);
критерий экономической
значимости – в отношении
ОИ, обеспечивающих
функционирование
объектов (организаций)
основных отраслей
экономики и (или) иные
важные экономические
потребности, в том числе
обеспечивающих
проведение безналичных
(межбанковских) расчетов,
осуществляющих
процессинг;
критерий экологической
значимости – в отношении
ОИ, нарушение или
прекращение
функционирования которых
может причинить ущерб
окружающей среде;
критерий информационной
значимости – в отношении
ОИ в области связи и средств
массовой информации.
Положение о порядке отнесения объектов информатизации к КВОИ
Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449)
73. Заключение о соответствии критериям
• 6. Для принятия решения об отнесении объекта информатизации
к критически важным объектам информатизации владелец
объекта информатизации составляет заключение о соответствии
этого объекта критериям, перечисленным в пункте 5 настоящего
Положения, и показателям уровня вероятного ущерба (далее –
заключение) в двух экземплярах.
• 11. Объект информатизации считается отнесенным к критически
важным объектам информатизации со дня его включения в
реестр.
Положение о порядке отнесения объектов информатизации к КВОИ
Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449)
74. Предписание об отнесении ОИ к КВОИ
12. На основании информации, содержащейся в открытом доступе, а также
полученной от государственных органов, владельцев объектов
информатизации, ОАЦ вправе вынести письменное требование (предписание)
об отнесении соответствующего объекта информатизации к критически
важным объектам информатизации.
• Письменное требование (предписание) об отнесении соответствующего
объекта информатизации к критически важным объектам информатизации
направляется владельцу объекта информатизации.
• Владелец объекта информатизации, получивший письменное требование
(предписание) о необходимости отнесения соответствующего объекта
информатизации к критически важным объектам информатизации, в
месячный срок со дня получения этого требования (предписания) обязан
совершить действия, определенные в пункте 6 или 8 настоящего Положения.
Положение о порядке отнесения объектов информатизации к КВОИ
Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449)
75. Создание системы ИБ КВОИ
13. Владельцы критически важных объектов информатизации:
• в течение шести месяцев со дня принятия решения об отнесении
объекта информатизации к критически важным осуществляют
проектирование и создание системы информационной
безопасности;
• в течение пяти рабочих дней со дня создания системы
информационной безопасности информируют об этом ОАЦ.
Положение о порядке отнесения объектов информатизации к КВОИ
Указ Президента Республики Беларусь 16.04.2013 № 196 (в редакции Указа Президента Республики Беларусь 09.12.2019 № 449)
76. Приложение 1 к приказу Оперативно-аналитического
центра при Президенте Республики Беларусь
20.02.2020 № 66
77. Приложение 2 к приказу Оперативно-аналитического
центра при Президенте Республики Беларусь
20.02.2020 № 66
78. Положение о порядке технической и криптографической защиты информации,
обрабатываемой на критически важных объектах информатизации
Приказ Оперативно-аналитического центра при Президенте Республики Беларусь
20.02.2020 № 66
79. Требования по технической и криптографической защите
информации, предусмотренные настоящим Положением,
реализуются также на критически важных объектах
информатизации, являющихся информационными системами,
имеющими аттестованную в установленном порядке систему
защиты информации.
Положение о порядке технической и
криптографической защиты информации,
обрабатываемой на критически важных
объектах информатизации
Приказ Оперативно-аналитического центра
при Президенте Республики Беларусь
20.02.2020 № 66
Положение о порядке технической и
криптографической защиты информации
в информационных системах,
предназначенных для обработки
информации, распространение и (или)
предоставление которой ограничено
Приказ Оперативно-аналитического центра
при Президенте Республики Беларусь
20.02.2020 № 66
Положение о порядке аттестации систем
защиты информации информационных
систем, предназначенных для обработки
информации, распространение и (или)
предоставление которой ограничено
Приказ Оперативно-аналитического центра
при Президенте Республики Беларусь
20.02.2020 № 66
80. Система ИБ КВОИ должна обеспечивать
• предотвращение неправомерного доступа к информации, обрабатываемой
на КВОИ, уничтожения такой информации, ее модификации, блокирования,
копирования, предоставления и распространения, а также иных
неправомерных действий в отношении такой информации;
• обнаружение и предупреждение угроз ИБ КВОИ и принятие мер по
предупреждению и уменьшению рисков ИБ;
• недопущение реализации угроз ИБ в отношении активов КВОИ, а также
восстановление функционирования КВОИ в случае такого воздействия, в том
числе за счет создания и хранения резервных копий информации.
Цели ИБ в Политику ИБ организации
81. Сетевая
безопасность
Антивирусная
защита
Защита от
несанкциониро
ванного доступа
Криптографическая
защита
Контроль
целостности
Регистрация и
анализ событий
Юридически
значимый аудит
Резервное
копирование
Оценка
защищенности
Управление
активами
Управление
риском
Управление идентификацией
и аутентификацией
Управление
доступом
Управление
инцидентами
Управление
непрерывностью
Управление
соответствием
Мониторинг
Повышение осведомленности
и обучение
Внутренний
контроль
Руководитель Персонал
Подразделение ИТ
(АСУ ТП)
Подразделение ИБ
технологии
процессы
люди
CИСТЕМА ИБ КВОИ
82. Владелец КВОИ:
• организует и контролирует функционирование системы
ИБ,
• определяет ее состав и структуру, функции ее
участников при обеспечении КВОИ в зависимости от
количества таких объектов и (или) особенностей
деятельности владельца КВОИ.
Организационная структура Системы ИБ в Политику ИБ организации
(роли и сферы ответственности)
83. 6. Для проведения работ по ТЗИ и КЗИ, обрабатываемой на КВОИ,
владелец такого объекта создает подразделение ЗИ или назначает
уполномоченное должностное лицо.
Работники такого подразделения (должностное лицо) должны
иметь высшее образование в области ЗИ либо высшее или
профессионально-техническое образование и пройти
переподготовку или повышение квалификации по вопросам ТЗИ и
КЗИ в порядке, установленном законодательством.
Обязанности, возлагаемые на подразделение ЗИ (должностное лицо), должны быть определены в ЛПА владельца КВОИ.
Не допускается возложение на подразделение ЗИ (должностное лицо) функций, не связанных с обеспечением ИБ КВОИ.
Создание подразделения защиты информации КВОИ
84. Подразделение защиты информации (должностное лицо)
• разрабатывает проекты ЛПА по созданию и совершенствованию системы ИБ;
• проводит анализ угроз и расчет рисков ИБ КВОИ;
• обеспечивает в соответствии с требованиями по ИБ КВОИ реализацию необходимых организационных
и технических мер, а также применение и эксплуатацию средств ЗИ;
• осуществляет мониторинг и реагирование на возникновение рисков ИБ КВОИ;
• организует проведение аудита системы ИБ;
• согласовывает прием на работу, увольнение, перевод, перемещение работников, трудовые
обязанности которых предусматривают эксплуатацию активов КВОИ, с учетом требований по ИБ КВОИ;
• проводит инструктажи, мероприятия по информированию и выработке практических навыков действий
по обеспечению ИБ КВОИ;
• обеспечивает защиту сведений, содержащихся в эксплуатационной документации на КВОИ,
документации на систему ИБ, иной информации, распространение и (или) предоставление которой
ограничено, от ее разглашения или несанкционированного доступа к ней со стороны третьих лиц;
• обеспечивает взаимодействие владельца КВОИ с юридическими и физическими лицами при
заключении и исполнении договоров по вопросам обеспечения ИБ КВОИ.
Организационная структура Системы ИБ в Политику ИБ организации
(роли и сферы ответственности) + ПП/ДИ/ФИ
85. 9. Подразделение ЗИ (должностное лицо) реализует функции,
предусмотренные в части первой пункта 8 настоящего Положения, во
взаимодействии с иными подразделениями (работниками),
обеспечивающими функционирование и эксплуатацию активов КВОИ.
Объем задач, возлагаемых на подразделения (работников),
обеспечивающие функционирование и эксплуатацию активов КВОИ,
определяется владельцем КВОИ в ЛПА по вопросам ТЗИ и КЗИ,
обрабатываемой на КВОИ.
Положения ЛПА по вопросам ТЗИ и КЗИ, обрабатываемой на КВОИ,
доводятся до сведения работников, обеспечивающих функционирование и
эксплуатацию активов КВОИ, в части, их касающейся.
86. Проектирование
системы ИБ КВОИ
Определение контекста
Определение целей
обеспечения ИБ
Инвентаризация активов
Определение
организационной структуры
системы ИБ КВОИ
Определение области
применения системы ИБ КВОИ
Определение угроз ИБ КВОИ
Разработка методики оценки
рисков ИБ КВОИ
Оценка рисков ИБ КВОИ
Разработка плана обработки
рисков ИБ КВОИ
Создание системы ИБ
КВОИ
Разработка политики ИБ КВОИ
Реализация мер по ЗИ КВОИ:
• идентификация и
аутентификация
• управление доступом к
активам КВОИ
• обращение с носителями
информации
• аудит ИБ
• защита от вредоносного ПО
• управление процедурами
резервирования:
• обеспечение ИБ КВОИ и его
элементов
• управление конфигурацией
• обновление ПО
• планирование
мероприятий по
обеспечению ИБ КВОИ
• реагирование на события
ИБ КВОИ и управление ими
• информирование и
обучение персонала
Разработка плана
восстановления КВОИ
Аудит системы ИБ
КВОИ
Анализ и оценка соответствия
системы ИБ требованиям
Положения;
Проведение контроля
эффективности защищенности
системы ИБ;
Формирование замечаний
(недостатков), выявленных в
процессе аудита, и
предложений по их
устранению;
Составление акта по форме
согласно приложению и
рекомендаций по результатам
аудита.
Функционирование
системы ИБ КВОИ
Эксплуатация мер по ЗИ КВОИ
Повышение уровня знаний по
обеспечению ИБ КВОИ
Контроль за состоянием
активов КВОИ для выявления
потенциальных событий ИБ
Анализ и оценка угроз ИБ
КВОИ
Аудит системы ИБ КВОИ
14. Комплекс мероприятий по технической и
криптографической ЗИ, обрабатываемой на
КВОИ, включает проектирование, создание и
аудит системы ИБ.
87. 1. Проведение обследования КВОИ (Аудит)
2. Проведение оценки рисков безопасности КВОИ
3. Разработка Плана обработки рисков (меры по ЗИ)
4. Разработка и внедрение системы менеджмента
безопасности информации КВОИ
5. Оценка соответствия КВОИ
ПРОЕКТ РАЗРАБОТКИ И ВНЕДРЕНИЯ СИСТЕМЫ ИБ КВОИ