Расширенный поиск

Обзор законодательства Республики Беларусь в сфере информационной безопасности – Часть 6: Техническая и криптографическая защита информации.

Государственное регулирование деятельности, связанной с криптографической защитой информации

Криптографическая защита информации – деятельность, направленная на обеспечение конфиденциальности, контроля целостности и подлинности информации с использованием средств криптографической защиты информации (абзац 2 пункта 3 Положения о технической и криптографической защите информации в Республике Беларусь, утвержденного Указом Президента Республики Беларусь от 16.04.2013 № 196, далее – Положение о защите информации).

Оглавление (показать/скрыть)
Часть 1: Общий обзор законодательства Республики Беларусь в сфере информационной безопасности
Часть 2: Персональные данные
Часть 3: Государственная и служебная тайна
Часть 4: Профессиональные тайны
Часть 5: Коммерческая тайна
Часть 6: Техническая и криптографическая защита информации
Часть 7: Электронная прослушка
Часть 8: Борьба с киберпреступностью

В Республике Беларусь вопросы криптографической защиты информации, не содержащей сведений, отнесенных к государственным секретам, регулируются:

  • Законом «Об информации»;
  • Законом Республики Беларусь от 28 декабря 2009 г. «Об электронном документе и электронной цифровой подписи»;
  • Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации», которым утверждено Положение о технической и криптографической защите информации в Республике Беларусь;
  • приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 30 августа 2013 г. № 62 «О некоторых вопросах технической и криптографической защиты информации» (далее – Приказ № 62).

Государственное регулирование и управление в сфере технической и криптографической защиты информации осуществляются:

  • Президентом Республики Беларусь, который определяет единую государственную политику и осуществляет иное государственное регулирование в сфере технической и криптографической защиты информации и
  • Оперативно-аналитическим центром при Президенте Республики Беларусь (далее – ОАЦ), который:
    • определяет приоритетные направления технической и криптографической защиты информации;
    • координирует деятельность организаций по применению мер технической и криптографической защиты информации;
    • осуществляет контроль за технической и криптографической защитой информации в организациях;
    • определяет порядок:
      • технической защиты государственных секретов;
      • технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;
      • аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;
    • организует и осуществляет техническое нормирование и стандартизацию по вопросам технической и криптографической защиты информации;
    • осуществляет:
      • лицензирование деятельности по технической и (или) криптографической защите информации;
      • подтверждение соответствия и проведение государственной экспертизы средств технической и криптографической защиты информации, за исключением криптографических средств защиты государственных секретов, определяет порядок проведения такой экспертизы;
    • выступает заказчиком государственных научно-технических и иных программ и проектов, обеспечивает организацию и проведение научно-исследовательских, опытно-конструкторских и иных работ в сфере технической и криптографической защиты информации;
    • заключает в пределах своей компетенции международные договоры межведомственного характера;
    • разрабатывает проекты нормативных правовых актов, в том числе технических нормативных правовых актов, и принимает (издает) такие акты по вопросам технической и криптографической защиты информации;
    • осуществляет иные полномочия в сфере технической и криптографической защиты информации.

Приказом № 62 было утверждено специальное Положение о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и критически важных объектов информатизации (далее – Положение о порядке криптографической защиты информации).

Криптографическая защита информации осуществляется путем применения средств криптографической защиты информации, а также комплекса организационных мер.

К средствам криптографической защиты информации относятся технические, программные, программно-аппаратные средства защиты информации, реализующие один или несколько криптографических алгоритмов (шифрование, выработка и проверка электронной цифровой подписи, хэширование, имитозащита) и криптографические протоколы, а также функции управления криптографическими ключами, механизмы идентификации и аутентификации.

К объектам, на которых осуществляется криптографическая защита информации в соответствии с Положением о защите информации, относятся:

  • государственные информационные системы в части обеспечения целостности и подлинности электронных документов (решение об организации защиты принимается собственником (владельцем) таких систем при использовании в этих системах электронных документов);
  • информационные системы, предназначенные для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам (решение об организации защиты принимается собственником (владельцем) таких систем при реализации комплекса мероприятий по созданию системы защиты информации (на этапе проектирования системы защиты информации информационной системы));
  • критически важные объекты информатизации (далее – КВОИ) (в соответствии с Положением об отнесении объектов информатизации к критически важным и обеспечении безопасности критически важных объектов информатизации, утвержденным Указом Президента Республики Беларусь от 25 ноября 2011 г. № 486, под такими объектами следует понимать объекты информатизации, которые:
    • обеспечивают функционирование экологически опасных и (или) социально значимых производств и (или) технологических процессов, нарушение штатного режима которых может привести к чрезвычайной ситуации техногенного характера;
    • осуществляют функции информационной системы, нарушение (прекращение) функционирования которой может привести к значительным негативным последствиям для национальной безопасности в политической, экономической, социальной, информационной, экологической, иных сферах;
    • обеспечивают предоставление значительного объема информационных услуг, частичное или полное прекращение оказания которых может привести к значительным негативным последствиям для национальной безопасности в политической, экономической, социальной, информационной, экологической, иных сферах). Решение об организации защиты принимается владельцем критически важных объектов информатизации при реализации комплекса мероприятий по созданию системы безопасности этих объектов.

Работы по криптографической защите информации в организации проводятся подразделением технической защиты информации или иными подразделениями (должностными лицами), выполняющими функции по криптографической защите информации, либо, при необходимости, могут привлекаться организации, имеющие специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ и услуг.

Государственное регулирование деятельности, связанной с технической защитой информации

Техническая защита информации – деятельность, направленная на обеспечение конфиденциальности, целостности, доступности и сохранности информации техническими мерами без применения средств криптографической защиты информации (абзац 8 пункта 3 Положения о защите информации).

Под средствами технической защиты информации следует понимать – технические, программные, программно-аппаратные средства защиты информации, предназначенные для защиты информации от ее утечки по техническим каналам, несанкционированного доступа, несанкционированных воздействий на информацию, блокирования правомерного доступа к ней, иных неправомерных воздействий на информацию, а также для контроля эффективности ее защищенности.

К объектам, на которых осуществляется техническая защита информации в соответствии с Положением о защите информации, относятся:

  • объекты информатизации, предназначенные для обработки информации, содержащей государственные секреты;
  • информационные системы, предназначенные для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам (в отношении данных объектов ОАЦ было принято Положение о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, утвержденное Приказом № 62);
  • КВОИ.

Работы по технической защите информации в организации проводятся подразделением технической защиты информации или иными подразделениями (должностными лицами), выполняющими функции по технической защите информации либо, при необходимости, также могут привлекаться организации, имеющие специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ и услуг.

При осуществлении технической защиты информации собственники (владельцы) объектов, на которых осуществляется техническая защита информации:

  • определяют перечни таких объектов;
  • обеспечивают проведение мероприятий по созданию систем защиты информации:
    • на объектах информатизации, предназначенных для обработки информации, содержащей государственные секреты, в порядке, предусмотренном законодательством о государственных секретах;
    • информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам;
  • организуют и проводят комплекс организационно-технических мероприятий, в результате которых документально подтверждается соответствие:
    • объектов информатизации, предназначенных для обработки информации, содержащей государственные секреты, требованиям законодательства о государственных секретах (аттестация объектов информатизации проводится до их ввода в эксплуатацию);
    • систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, требованиям законодательства об информации, информатизации и защите информации (аттестация систем защиты информации проводится до ввода таких систем в эксплуатацию. Порядок такой аттестации установлен Положением о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, утвержденным Приказом № 62);
  • организуют и проводят комплекс мероприятий по технической защите информации, обрабатываемой на критически важных объектах информатизации, при создании систем безопасности этих объектов;
  • осуществляют методическое руководство деятельностью по применению мер технической защиты информации организациями, находящимися в их подчинении (входящими в состав), а также хозяйственными обществами, акции (доли в уставных фондах) которых принадлежат Республике Беларусь либо административно-территориальной единице и переданы в управление указанных организаций;
  • представляют в ОАЦ сведения о состоянии технической защиты информации.

К субъектам, на которых возложены требования по соблюдению требований положений по технической и криптографической защите информации относятся:

  • собственники (владельцы) КВОИ, объектов информатизации, предназначенных для обработки информации, содержащей государственные секреты, а также собственниками (владельцами) государственных информационных систем в части обеспечения целостности и подлинности электронных документов;
  • собственники (владельцы) информационных систем, в которых обрабатываются служебная информация ограниченного распространения, информация о частной жизни физического лица и персональные данные;
  • государственные органы и иные государственные организации, хозяйственные общества в отношении которых Республика Беларусь либо административно-территориальная единица, обладая акциями (долями в уставных фондах), может определять решения, принимаемые этими хозяйственными обществами, являющимися собственниками (владельцами) информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам.
  • иные собственники (владельцы) объектов информатизации (в том числе информационных систем) – вправе руководствоваться требованиями по технической и криптографической защите информации, если иное не предусмотрено законодательными актами.

Порядок сертификации средств защиты информации, проведения экспертизы, лицензирование

На выпускаемые в обращение на территории Республики Беларусь средства защиты информации независимо от страны происхождения, за исключением средств шифрованной, других видов специальной связи и криптографических средств защиты государственных секретов, распространяется действие технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) (далее – технический регламент ТР 2013/027/BY), утвержденного постановлением Совета Министров Республики Беларусь от 15 мая 2013 г. № 375.

Средства защиты информации выпускаются в обращение на рынке в установленном порядке при их соответствии техническому регламенту ТР 2013/027/BY, а также другим техническим регламентам, действие которых на них распространяется.

Средства защиты информации, соответствие которых требованиям технического регламента ТР 2013/027/BY не подтверждено, не должны быть маркированы знаком соответствия техническому регламенту согласно ТКП 5.1.08-2012 «Национальная система подтверждения соответствия Республики Беларусь. Знаки соответствия. Описание и порядок применения» и не допускаются к выпуску в обращение на рынке.

Для создания системы защиты информации используются средства технической и криптографической защиты информации (далее – продукция), имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы, порядок проведения которой определяется ОАЦ.

Общие требования к порядку проведения обязательной и добровольной сертификации отечественной и импортируемой продукции устанавливает технический кодекс установившейся практики ТКП 5.1.02-2012 «Национальная система подтверждения соответствия Республики Беларусь. Сертификация продукции. Основные положения».

Юридические лица и индивидуальные предприниматели до реализации таких  средств защиты информации и продукции обязаны провести их сертификацию на соответствие требованиям технических нормативных правовых актов в области технического нормирования и стандартизации или экспертизу в ОАЦ.

В настоящее время в ряде областей ОАЦ аккредитован Национальным органом по аккредитации Республики Беларусь в качестве органа по сертификации средств защиты информации и продукции по требованиям безопасности информации, что подтверждено аттестатом аккредитации № BY/112 036.01.

Сертификация продукции включает:

  • подачу заявки на сертификацию и представление документов, прилагаемых к ней;
  • принятие решения по заявке;
  • анализ технических нормативных правовых актов, конструкторской и технологической документации на продукцию;
  • идентификацию продукции и отбор образцов продукции;
  • испытания образцов продукции;
  • анализ результатов испытаний;
  • анализ состояния производства;
  • принятие решения о возможности выдачи сертификата соответствия;
  • регистрацию и выдачу сертификата соответствия, а также заключение соглашения по сертификации между органом по сертификации и заявителем;
  • инспекционный контроль за сертифицированной продукцией;
  • разработку заявителем корректирующих мероприятий при нарушении соответствия продукции и (или) условий производства и хранения установленным требованиям и неправильном применении знака соответствия.

Срок действия сертификата соответствия на продукцию серийного и массового производства – пять лет.

Срок действия сертификата соответствия на партию продукции устанавливается органом по сертификации с учетом срока годности (хранения) продукции, сроков реализации партии.

При возможности однозначной идентификации каждой единицы сертифицированной продукции сертификат соответствия на партию выдается без ограничения срока действия.

Срок действия сертификата соответствия на продукцию, поставляемую по контракту периодически партиями, – на период действия контракта, но не более одного года (с указанием в сертификате количества, моделей, артикула и (или) других четких идентификационных признаков продукции), без ограничений по периодичности и объемам поставляемой продукции.

Сертификаты соответствия на продукцию могут быть продлены на основании заявления на продление.

Реестр средств защиты информации, прошедших сертификации публикуется в сети Интернет (http://oac.gov.by/tzi/protection/register_certification.html).

Порядок проведения государственной экспертизы средств технической и криптографической защиты информации, за исключением криптографических средства защиты государственных секретов определяется Положением о порядке проведения государственной экспертизы средств защиты информации, утвержденным Приказом ОАЦ от 26 августа 2013 г. № 60.

Государственная экспертиза средств технической и криптографической защиты информации (продукции) представляет собой оценку соответствия продукции требованиям по технической и криптографической защите информации, которые техническими нормативными правовыми актами Республики Беларусь не установлены, в целях подготовки экспертного заключения по использованию (применению) данной продукции.

Экспертиза продукции отечественного и иностранного производства проводится ОАЦ по единым правилам и на платной основе по инициативе заявителя.

Экспертиза продукции включает следующие этапы:

  • подача заявителем заявки на проведение экспертизы с прилагаемыми документами;
  • анализ органом государственной экспертизы заявки и прилагаемых к ней документов;
  • принятие органом государственной экспертизы решения по заявке;
  • заключение договора между органом государственной экспертизы и заявителем на проведение экспертизы;
  • проведение органом государственной экспертизы идентификации продукции (проверка соответствия представленной на экспертизу продукции требованиям, предъявляемым к данному виду (типу) продукции: наименование; наименование и местонахождение изготовителя; серийный номер (при наличии); контрольная характеристика (хэш-значение); объем представленной партии; срок хранения; вид упаковки (тары); иная информация, указанная в товаросопроводительных документах) и отбора образцов (осуществляется государственным экспертом в присутствии заявителя) для испытаний;
  • согласование испытательной лабораторией (центром) методики проведения испытаний продукции с органом государственной экспертизы;
  • проведение испытательной организацией испытаний образцов продукции (могут быть привлечено несколько испытательных организаций);
  • принятие органом государственной экспертизы решения о выдаче либо об отказе в выдаче экспертного заключения;
  • выдача заявителю экспертного заключения (при положительных результатах испытаний).

Каждый последующий этап экспертизы реализуется при положительных результатах предыдущего.

Срок действия экспертного заключения на продукцию составляет:

  • для средств криптографической защиты информации – пять лет;
  • для средств технической защиты информации – два года.

Орган государственной экспертизы ведет реестр продукции, прошедшей экспертизу и имеющей экспертное заключение, который размещается в сети Интернет (http://oac.gov.by/tzi/protection/register_examination.html)

Решение о приостановлении или об отмене действия экспертного заключения принимается органом государственной экспертизы в случае:

  • изменений продукции, конструкторской, технологической или программной документации на продукцию, технологического процесса изготовления продукции, которые могут вызвать несоответствие требованиям по технической и криптографической защите информации, предъявленным при экспертизе;
  • недоведения владельцем экспертного заключения требований по использованию (применению) продукции, отраженных в экспертном заключении и (или) приложении к нему, до пользователей продукции;
  • обнаружения уязвимостей в продукции, не позволяющих обеспечивать требования по технической и криптографической защите информации, предъявленные при экспертизе продукции;
  • предъявления потребителем обоснованных претензий к качеству продукции.

При этом орган государственной экспертизы информирует владельца экспертного заключения о выявленных недостатках и приостановлении или об отмене действия экспертного заключения. Действие экспертного заключения возобновляется по решению органа государственной экспертизы после устранения владельцем экспертного заключения выявленных недостатков.

Решение об отмене действия экспертного заключения принимается в случае несоответствия продукции, прошедшей экспертизу, требованиям по технической и криптографической защите информации, на соответствие которым проводилась экспертиза, а также при невыполнении владельцем экспертного заключения мероприятий по устранению выявленных несоответствий в установленный органом государственной экспертизы срок.

Лицензирование

Отношения в области лицензирования деятельности по технической и (или) криптографической защите информации в Республике Беларусь регулируются Положением о лицензировании отдельных видов деятельности, утвержденным Указом Президента Республики Беларусь от 1 сентября 2010 г. № 450 «О лицензировании отдельных видов деятельности» (далее – Положение о лицензировании). Особенности лицензирования деятельности по технической и (или) криптографической защите информации изложены в главе 21 Положения.

Лицензирующим органом, осуществляющим лицензирование деятельности по технической и (или) криптографической защите информации (далее – лицензируемая деятельность), является ОАЦ.

Лицензируемая деятельность включает следующие работы и услуги:

  • разработка, производство, реализация, монтаж, наладка, сервисное обслуживание (либо выборка из указанного перечня работ) технических средств обработки информации в защищенном исполнении, программных средств обработки информации в защищенном исполнении, технических, программных, программно-аппаратных средств защиты информации и контроля ее защищенности, средств криптографической защиты информации (либо выборка из указанного перечня средств);
  • проведение испытаний, специальных исследований (либо выборка из указанного перечня работ) технических средств обработки информации, программных средств обработки информации, технических, программных, программно-аппаратных средств защиты информации и контроля ее защищенности, средств криптографической защиты информации (либо выборка из указанного перечня средств) по требованиям безопасности информации;
  • проектирование, создание (либо выборка из указанного перечня работ) систем защиты информации на объектах информатизации;
  • проектирование, создание (либо выборка из указанного перечня работ) систем защиты информации информационных систем;
  • аттестация объектов информатизации;
  • аттестация систем защиты информации информационных систем;
  • проведение работ по выявлению специальных технических средств, предназначенных для негласного получения информации;
  • удостоверение формы внешнего представления электронного документа на бумажном носителе;
  • оказание услуг по распространению открытых ключей проверки подписи.

Получение лицензии по технической и (или) криптографической защите информации требуется для:

  • технической защиты информации, распространение и (или) предоставление которой ограничено;
  • технической защиты информации, обрабатываемой на критически важных объектах информатизации;
  • криптографической защиты информации, распространение и (или) предоставление которой ограничено, не содержащей сведений, отнесенных к государственным секретам;
  • криптографической защиты информации, обрабатываемой на критически важных объектах информатизации;
  • криптографической защиты информации, обрабатываемой в государственных информационных системах.

Не требуется получения лицензии для выполнения работ по технической и (или) криптографической защите информации, если эти работы выполняются для собственных нужд обладателем информации, распространение и (или) предоставление которой ограничено, собственником (владельцем) КВОИ и государственных информационных систем.

До принятия решения по вопросам лицензирования ОАЦ вправе провести оценку и (или) назначить проведение экспертизы соответствия возможностей соискателя лицензии (лицензиата) лицензионным требованиям и условиям.

Порядок проведения оценки соответствия возможностей соискателя лицензии (лицензиата) лицензионным требованиям и условиям установлен в Инструкции о порядке проведения оценки соответствия возможностей соискателя лицензии (лицензиата) лицензионным требованиям и условиям, утвержденной Приказом ОАЦ от 30 ноября 2010 г. № 86.

Оценка проводится комиссией, создаваемой решением ОАЦ. По результатам оценки комиссией составляется заключение о соответствии или несоответствии возможностей заявителя лицензионным требованиям и условиям, которое подписывается председателем и членами комиссии.

В ходе оценки комиссия проверяет у заявителя:

  • заявление о выдаче лицензии; легализованную выписку из торгового реестра страны, в которой иностранная организация учреждена, или иное эквивалентное доказательство юридического статуса иностранной организации в соответствии с законодательством страны ее учреждения; документ об уплате государственной пошлины за выдачу лицензии; сведения о работниках соискателя лицензии, которыми будет осуществляться лицензируемая деятельность, с указанием фамилии, собственного имени, отчества (если таковое имеется), образования, специальности, квалификационного разряда и трудового стажа; сведения о наличии средств измерений и контроля, технических, программно-аппаратных и программных средств, а также помещений, необходимых для выполнения работ и (или) оказания услуг, составляющих лицензируемую деятельность – на предмет их достоверности и соответствия требованиям Положения о лицензировании;
  • документы, подтверждающие наличие в штате заявленных специалистов по технической и (или) криптографической защите информации и их образование;
  • документы, подтверждающие права на используемые помещения, соответствие этих помещений требованиям нормативных правовых актов в области защиты информации, решения уполномоченных государственных органов (организаций) на осуществление производства в рамках лицензируемого вида деятельности;
  • наличие средств измерений и контроля, технических, программно-аппаратных и программных средств, необходимых для выполнения заявленных работ и отвечающих требованиям нормативных правовых актов;
  • наличие нормативных правовых актов, в том числе технических нормативных правовых актов, методической документации, разработанной заявителем, необходимых для выполнения заявленных работ;
  • наличие разрешения на осуществление деятельности с использованием государственных секретов, выданного заявителю уполномоченным государственным органом по защите государственных секретов, в случае осуществления лицензируемой деятельности на объектах, предназначенных для обработки информации, содержащей государственные секреты.

У соискателя лицензии должно быть в штате не менее 3 специалистов, имеющих высшее образование в области технической и (или) криптографической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической и (или) криптографической защиты информации в порядке, установленном законодательством, а также должны быть средства измерения и контроля, технические, программно-аппаратные и программные средства, а также помещения, необходимые для выполнения работ и (или) оказания услуг, составляющих лицензируемую деятельность.

ОАЦ формирует реестр лицензий на право осуществления деятельности по технической защите информации (http://oac.gov.by/tzi/licence/info.html). В настоящее время на основании лицензий осуществляют работы 222 организации.

Лицензиаты обязаны начать осуществление лицензируемой деятельности не позднее 6 месяцев со дня получения лицензии. Ежегодно до 30 декабря лицензиаты предоставляют в ОАЦ отчет о выполненных за год работах (оказанных услугах), составляющих лицензируемую деятельность.

Лицензия действует со дня принятия лицензирующим органом решения о ее выдаче и сроком не ограничивается.

Читать далее: Часть 7: Электронная прослушка

Об авторе

Digital Report

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

Написать ответ

Send this to a friend

Перейти к верхней панели