Digital Report

Обзор законодательства Республики Беларусь: Техническая и криптографическая защита информации

Фото: faithie/Shutterstock.com

Обзор законодательства Республики Беларусь в сфере информационной безопасности – Часть 6: Техническая и криптографическая защита информации.

Государственное регулирование деятельности, связанной с криптографической защитой информации

Криптографическая защита информации — деятельность, направленная на обеспечение конфиденциальности, контроля целостности и подлинности информации с использованием средств криптографической защиты информации (абзац 2 пункта 3 Положения о технической и криптографической защите информации в Республике Беларусь, утвержденного Указом Президента Республики Беларусь от 16.04.2013 № 196, далее – Положение о защите информации).

Оглавление (показать/скрыть)
Часть 1: Общий обзор законодательства Республики Беларусь в сфере информационной безопасности
Часть 2: Персональные данные
Часть 3: Государственная и служебная тайна
Часть 4: Профессиональные тайны
Часть 5: Коммерческая тайна
Часть 6: Техническая и криптографическая защита информации
Часть 7: Электронная прослушка
Часть 8: Борьба с киберпреступностью

В Республике Беларусь вопросы криптографической защиты информации, не содержащей сведений, отнесенных к государственным секретам, регулируются:

Государственное регулирование и управление в сфере технической и криптографической защиты информации осуществляются:

Приказом № 62 было утверждено специальное Положение о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и критически важных объектов информатизации (далее — Положение о порядке криптографической защиты информации).

Криптографическая защита информации осуществляется путем применения средств криптографической защиты информации, а также комплекса организационных мер.

К средствам криптографической защиты информации относятся технические, программные, программно-аппаратные средства защиты информации, реализующие один или несколько криптографических алгоритмов (шифрование, выработка и проверка электронной цифровой подписи, хэширование, имитозащита) и криптографические протоколы, а также функции управления криптографическими ключами, механизмы идентификации и аутентификации.

К объектам, на которых осуществляется криптографическая защита информации в соответствии с Положением о защите информации, относятся:

Работы по криптографической защите информации в организации проводятся подразделением технической защиты информации или иными подразделениями (должностными лицами), выполняющими функции по криптографической защите информации, либо, при необходимости, могут привлекаться организации, имеющие специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ и услуг.

Государственное регулирование деятельности, связанной с технической защитой информации

Техническая защита информации — деятельность, направленная на обеспечение конфиденциальности, целостности, доступности и сохранности информации техническими мерами без применения средств криптографической защиты информации (абзац 8 пункта 3 Положения о защите информации).

Под средствами технической защиты информации следует понимать — технические, программные, программно-аппаратные средства защиты информации, предназначенные для защиты информации от ее утечки по техническим каналам, несанкционированного доступа, несанкционированных воздействий на информацию, блокирования правомерного доступа к ней, иных неправомерных воздействий на информацию, а также для контроля эффективности ее защищенности.

К объектам, на которых осуществляется техническая защита информации в соответствии с Положением о защите информации, относятся:

Работы по технической защите информации в организации проводятся подразделением технической защиты информации или иными подразделениями (должностными лицами), выполняющими функции по технической защите информации либо, при необходимости, также могут привлекаться организации, имеющие специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ и услуг.

При осуществлении технической защиты информации собственники (владельцы) объектов, на которых осуществляется техническая защита информации:

К субъектам, на которых возложены требования по соблюдению требований положений по технической и криптографической защите информации относятся:

Порядок сертификации средств защиты информации, проведения экспертизы, лицензирование

На выпускаемые в обращение на территории Республики Беларусь средства защиты информации независимо от страны происхождения, за исключением средств шифрованной, других видов специальной связи и криптографических средств защиты государственных секретов, распространяется действие технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) (далее – технический регламент ТР 2013/027/BY), утвержденного постановлением Совета Министров Республики Беларусь от 15 мая 2013 г. № 375.

Средства защиты информации выпускаются в обращение на рынке в установленном порядке при их соответствии техническому регламенту ТР 2013/027/BY, а также другим техническим регламентам, действие которых на них распространяется.

Средства защиты информации, соответствие которых требованиям технического регламента ТР 2013/027/BY не подтверждено, не должны быть маркированы знаком соответствия техническому регламенту согласно ТКП 5.1.08-2012 «Национальная система подтверждения соответствия Республики Беларусь. Знаки соответствия. Описание и порядок применения» и не допускаются к выпуску в обращение на рынке.

Для создания системы защиты информации используются средства технической и криптографической защиты информации (далее — продукция), имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы, порядок проведения которой определяется ОАЦ.

Общие требования к порядку проведения обязательной и добровольной сертификации отечественной и импортируемой продукции устанавливает технический кодекс установившейся практики ТКП 5.1.02-2012 «Национальная система подтверждения соответствия Республики Беларусь. Сертификация продукции. Основные положения».

Юридические лица и индивидуальные предприниматели до реализации таких  средств защиты информации и продукции обязаны провести их сертификацию на соответствие требованиям технических нормативных правовых актов в области технического нормирования и стандартизации или экспертизу в ОАЦ.

В настоящее время в ряде областей ОАЦ аккредитован Национальным органом по аккредитации Республики Беларусь в качестве органа по сертификации средств защиты информации и продукции по требованиям безопасности информации, что подтверждено аттестатом аккредитации № BY/112 036.01.

Сертификация продукции включает:

Срок действия сертификата соответствия на продукцию серийного и массового производства – пять лет.

Срок действия сертификата соответствия на партию продукции устанавливается органом по сертификации с учетом срока годности (хранения) продукции, сроков реализации партии.

При возможности однозначной идентификации каждой единицы сертифицированной продукции сертификат соответствия на партию выдается без ограничения срока действия.

Срок действия сертификата соответствия на продукцию, поставляемую по контракту периодически партиями, – на период действия контракта, но не более одного года (с указанием в сертификате количества, моделей, артикула и (или) других четких идентификационных признаков продукции), без ограничений по периодичности и объемам поставляемой продукции.

Сертификаты соответствия на продукцию могут быть продлены на основании заявления на продление.

Реестр средств защиты информации, прошедших сертификации публикуется в сети Интернет (http://oac.gov.by/tzi/protection/register_certification.html).

Порядок проведения государственной экспертизы средств технической и криптографической защиты информации, за исключением криптографических средства защиты государственных секретов определяется Положением о порядке проведения государственной экспертизы средств защиты информации, утвержденным Приказом ОАЦ от 26 августа 2013 г. № 60.

Государственная экспертиза средств технической и криптографической защиты информации (продукции) представляет собой оценку соответствия продукции требованиям по технической и криптографической защите информации, которые техническими нормативными правовыми актами Республики Беларусь не установлены, в целях подготовки экспертного заключения по использованию (применению) данной продукции.

Экспертиза продукции отечественного и иностранного производства проводится ОАЦ по единым правилам и на платной основе по инициативе заявителя.

Экспертиза продукции включает следующие этапы:

Каждый последующий этап экспертизы реализуется при положительных результатах предыдущего.

Срок действия экспертного заключения на продукцию составляет:

Орган государственной экспертизы ведет реестр продукции, прошедшей экспертизу и имеющей экспертное заключение, который размещается в сети Интернет (http://oac.gov.by/tzi/protection/register_examination.html)

Решение о приостановлении или об отмене действия экспертного заключения принимается органом государственной экспертизы в случае:

При этом орган государственной экспертизы информирует владельца экспертного заключения о выявленных недостатках и приостановлении или об отмене действия экспертного заключения. Действие экспертного заключения возобновляется по решению органа государственной экспертизы после устранения владельцем экспертного заключения выявленных недостатков.

Решение об отмене действия экспертного заключения принимается в случае несоответствия продукции, прошедшей экспертизу, требованиям по технической и криптографической защите информации, на соответствие которым проводилась экспертиза, а также при невыполнении владельцем экспертного заключения мероприятий по устранению выявленных несоответствий в установленный органом государственной экспертизы срок.

Лицензирование

Отношения в области лицензирования деятельности по технической и (или) криптографической защите информации в Республике Беларусь регулируются Положением о лицензировании отдельных видов деятельности, утвержденным Указом Президента Республики Беларусь от 1 сентября 2010 г. № 450 «О лицензировании отдельных видов деятельности» (далее – Положение о лицензировании). Особенности лицензирования деятельности по технической и (или) криптографической защите информации изложены в главе 21 Положения.

Лицензирующим органом, осуществляющим лицензирование деятельности по технической и (или) криптографической защите информации (далее – лицензируемая деятельность), является ОАЦ.

Лицензируемая деятельность включает следующие работы и услуги:

Получение лицензии по технической и (или) криптографической защите информации требуется для:

Не требуется получения лицензии для выполнения работ по технической и (или) криптографической защите информации, если эти работы выполняются для собственных нужд обладателем информации, распространение и (или) предоставление которой ограничено, собственником (владельцем) КВОИ и государственных информационных систем.

До принятия решения по вопросам лицензирования ОАЦ вправе провести оценку и (или) назначить проведение экспертизы соответствия возможностей соискателя лицензии (лицензиата) лицензионным требованиям и условиям.

Порядок проведения оценки соответствия возможностей соискателя лицензии (лицензиата) лицензионным требованиям и условиям установлен в Инструкции о порядке проведения оценки соответствия возможностей соискателя лицензии (лицензиата) лицензионным требованиям и условиям, утвержденной Приказом ОАЦ от 30 ноября 2010 г. № 86.

Оценка проводится комиссией, создаваемой решением ОАЦ. По результатам оценки комиссией составляется заключение о соответствии или несоответствии возможностей заявителя лицензионным требованиям и условиям, которое подписывается председателем и членами комиссии.

В ходе оценки комиссия проверяет у заявителя:

У соискателя лицензии должно быть в штате не менее 3 специалистов, имеющих высшее образование в области технической и (или) криптографической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической и (или) криптографической защиты информации в порядке, установленном законодательством, а также должны быть средства измерения и контроля, технические, программно-аппаратные и программные средства, а также помещения, необходимые для выполнения работ и (или) оказания услуг, составляющих лицензируемую деятельность.

ОАЦ формирует реестр лицензий на право осуществления деятельности по технической защите информации (http://oac.gov.by/tzi/licence/info.html). В настоящее время на основании лицензий осуществляют работы 222 организации.

Лицензиаты обязаны начать осуществление лицензируемой деятельности не позднее 6 месяцев со дня получения лицензии. Ежегодно до 30 декабря лицензиаты предоставляют в ОАЦ отчет о выполненных за год работах (оказанных услугах), составляющих лицензируемую деятельность.

Лицензия действует со дня принятия лицензирующим органом решения о ее выдаче и сроком не ограничивается.

Читать далее: Часть 7: Электронная прослушка

Перейти к верхней панели