Техрегламент рб «информационные технологии. средства защиты информации. информационная безопасность» (тр 2013/027/by)

Распространяется на выпускаемые в обращение на территории Республики Беларусь средства защиты информации независимо от страны происхождения, за исключением средств шифрованной, других видов специальной связи и криптографических средств защиты государственных секретов.

Средства защиты информации, соответствие которых требованиям настоящего технического регламента не подтверждено не допускаются к выпуску в обращение на рынке.

Средства защиты информации должны быть разработаны и изготовлены таким образом, чтобы, применяя их по назначению и выполняя требования к эксплуатации и техническому обслуживанию, они обеспечивали:

· выполнение функций в соответствии с эксплуатационными документами;

· защиту от несанкционированного раскрытия и (или) модификации критических параметров;

· контроль целостности конфигурации;

· самотестирование;

· контроль доступа к функциям управления и настройкам;

· сохранение работоспособности при обработке некорректных данных.

Подтверждению соответствия требованиям настоящего ТР путем сертификации подлежат СЗИ, которые будут использоваться для:

· технической защиты государственных секретов;

· создания систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено;

· создания систем безопасности КВОИ;

· обеспечения целостности и подлинности электронных документов в государственных информационных системах.

Требования информационной безопасности настоящего технического регламента, на соответствие которым осуществляется сертификация, определяются ОАЦ при Президенте РБ в зависимости от специфики средств защиты информации.

«О некоторых вопросах технической и криптографической защиты информации», приказ ОАЦ от 30 августа 2013 г. № 62

Устанавливается порядок технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам

Для защиты информации в информационных системах создается система защиты информации, включающая комплекс организационных и технических мер, направленных на обеспечение конфиденциальности, целостности, подлинности, доступности и сохранности информации.

При создании систем защиты информации информационных систем применяются средства защиты информации, имеющие сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы.

Не допускается подключение информационных систем к информационным сетям, в том числе Интернет, без принятия мер по технической и (или) криптографической защите информации, предусмотренных настоящим Положением и иным законодательством в области технической и криптографической защиты информации.

Комплекс мероприятий по созданию системы ЗИ включает:

· классификацию хранящихся и обрабатываемых в информационной системе сведений и разделение информации по категориям доступа;

· анализ структуры информационной системы, порядка организации вычислительных процессов и условий ее функционирования;

· присвоение информационной системе класса типового объекта информатизации в соответствии с требованиями законодательства об информации, информатизации и защите информации;

· разработку или корректировку политики информационной безопасности;

· разработку или корректировку ЗБ на информационную систему в соответствии с требованиями законодательства об информации, информатизации и защите информации, в том числе технических нормативных правовых актов;

· реализацию требований ЗБ на информационную систему.

Создание системы защиты информации информационной системы осуществляется до ввода информационной системы в эксплуатацию.

Политика информационной безопасности должна содержать:

· цели построения системы защиты информации информационной системы;

· перечень защищаемых сведений;

· определение ответственности субъектов информационных отношений за обеспечение защиты информации;

· определение прав и порядка доступа к защищаемой информации;

· порядок работы с электронной почтой и другими системами обмена и передачи сообщений;

· порядок применения средств технической и (или) криптографической защиты информации;

· организационные мероприятия по разграничению доступа к средствам технической защиты и обработки информации;

· порядок действий при возникновении угроз обеспечению целостности и конфиденциальности информационных ресурсов, в том числе чрезвычайных и непредотвратимых обстоятельств (непреодолимой силы), и при ликвидации их последствий;

· инструкции для субъектов информационных отношений, регламентирующие порядок доступа к ресурсам информационной системы, установления подлинности субъектов, аудита безопасности, резервирования и уничтожения информации, контроля целостности защищаемых сведений, защиты от вредоносного программного обеспечения и вторжений.