Размер шрифта
A- A+
Межбуквенное растояние
Цвет сайта
A A A A
Изоображения
Дополнительно
 Новости:
МЕНЮ

Архив новостей

Перечень первоочередных мер, необходимых для создания государственными органами и организациями, в том числе им подчиненными, систем(ы) защиты информации в эксплуатируемых информационных сетях и системах

В целях исполнения требования пункта 3 Протокола заседания Межведомственной комиссии по безопасности в информационной сфере при Совете Безопасности Республики Беларусь от 26 октября 2021 г. № 21-02/1785-деп "О комплексе мер по обеспечению кибербезопасности государственных систем и ресурсов" Оперативно-аналитическим центром при Президенте Республики Беларусь разработан перечень первоочередных мер, необходимых для создания государственными органами и организациями, в том числе им подчиненными, систем(ы) защиты информации в эксплуатируемых информационных сетях и системах.

Перечень первоочередных мер, необходимых для создания государственными органами и организациями, в том числе им подчиненными, систем(ы) защиты информации в эксплуатируемых информационных сетях и системах >>

Не позднее 25.06.2022 г.: 

  1. Разработать либо скорректировать политику информационной безопасности, в которой определить:
  • цели и принципы защиты информации;
  • перечень информационных систем, отнесенных к соответствующим классам типовых информационных систем, перечень средств вычислительной техники, а также сведения о подразделениях защиты информации или ином подразделении (должностном лице), ответственном за обеспечение защиты информации;
  • обязанности пользователей информационных систем;
  • порядок взаимодействия с иными информационными системами.
  1. Разработать либо скорректировать (самостоятельно либо с привлечением специализированной организации) техническое(ие) задание(я) на информационные системы, в котором(ых) определить:
  • наименования информационных систем с указанием присвоенного им класса типовых информационных систем;
  • требования к системе защиты информации в зависимости от используемых технологий и класса типовых информационных систем в соответствии с приложением 3 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утвержденного приказом ОАЦ № 66 (далее - Положение);
  • сведения об организации взаимодействия с иными информационными системами (в случае предполагаемого взаимодействия) с учетом требований согласно приложению 4 Положения;
  • порядок обезличивания персональных данных (в случае их обработки в информационной системе) с применением методов согласно приложению 5 Положения;
  • требования к средствам криптографической защиты информации, включая требования к криптографическим алгоритмам в зависимости от задач безопасности (шифрование, выработка и проверка электронной цифровой подписи, хэширование, имитозащита), криптографическим протоколам, управлению криптографическими ключами (генерация, распределение, хранение, доступ, уничтожение), а также к функциональным возможностям безопасности и форматам данных. Профили требований, предъявляемых к средствам криптографической защиты информации, определяются Оперативно­аналитическим центром при Президенте Республики Беларусь (далее - ОАЦ);
  • перечень документации на систему защиты информации.

Допускается не включать в техническое задание отдельные обязательные требования к системе защиты информации при отсутствии в информационной системе соответствующего объекта (технологии) либо при условии согласования с ОАЦ закрепления в таком техническом задании обоснованных компенсирующих мер.

  1. Осуществить разработку общей схемы системы защиты информации, которая должна включать в себя:
  • наименование информационной системы;
  • класс типовых информационных систем;
  • места размещения объектов информационной системы;
  • физические границы информационной системы;
  • внешние и внутренние информационные потоки и протоколы обмена защищаемой информацией.
  1. Разработать документацию на систему защиты информации в соответствии с техническим заданием, в которой описать порядок:
  • разграничения доступа пользователей к объектам информационной системы;
  • резервирования и уничтожения информации;
  • защиты от вредоносного программного обеспечения;
  • использования съемных носителей информации;
  • использования электронной почты;
  • обновления средств защиты информации;
  • осуществления контроля (мониторинга) за функционированием информационной систем и системы защиты информации;
  • реагирования на события информационной безопасности и ликвидации их последствий;
  • управления криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу к ним и их уничтожению.
  1. Осуществить выбор и внедрение средств криптографической защиты информации с учетом рекомендаций изготовителя и ограничений, указанных в сертификатах соответствия, а также осуществить смену реквизитов доступа к функциям управления и настройкам, установленным по умолчанию (в случае невозможности смены - осуществить блокировку данных учетных записей).
  2. Определить способ и периодичность мониторинга (просмотра, анализа) событий информационной безопасности уполномоченными на это пользователями информационных сетей.
  3. Регламентировать порядок использования в информационной сети мобильных технических средств и контроля за таким использованием.
  4. Обеспечить контроль за работоспособностью, параметрами настройки и правильностью функционирования объектов информационной сети.
  5. Обеспечить защиту обратной связи при вводе аутентификационной информации.
  6. Обеспечить (централизованное) управление учетными записями пользователей информационной сети и контроль за соблюдением правил генерации и смены паролей пользователей.
  7. Обеспечить блокировку доступа к объектам информационной сети после истечения установленного времени бездействия (неактивности) пользователя или по его запросу.
  8. Обеспечить конфиденциальность и контроль целостности информации при ее передаче посредством сетей электросвязи общего пользования (использовать средства линейного или предварительного шифрования).
  9. Обеспечить защиту от агрессивного использования ресурсов виртуальной инфраструктуры.
  10. Обеспечить защиту виртуальной инфраструктуры от несанкционированного доступа и сетевых атак из виртуальной и физической сети, а также виртуальных машин.
  11. Обеспечить безопасное перемещение виртуальных машин и обрабатываемых на них данных.
  12. Обеспечить резервное копирование пользовательских виртуальных машин.
  13. Обеспечить физическую изоляцию сегмента виртуальной инфраструктуры (системы хранения и обработки данных), предназначенного для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам.
  14. Определить состав и содержание информации (в том числе конфигурационных файлов сетевого оборудования), подлежащей резервированию, и обеспечить ее резервирование.
  15. Обеспечить защиту от несанкционированного доступа к резервным копиям, параметрам настройки сетевого оборудования, системного программного обеспечения, средств защиты информации и событиям безопасности.
  16. Обеспечить в реальном масштабе времени автоматическую проверку файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ.