О порядке аттестации систем защиты информации

ПОЛОЖЕНИЕ
о порядке аттестации систем защиты информации

1. Настоящее Положение разработано в соответствии с Законом Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации» (Национальный реестр правовых актов Республики Беларусь, 2008 г., № 279, 2/1552) (далее – Закон) и определяет порядок аттестации систем защиты информации, используемых при обработке информации, распространение и (или) предоставление которой ограничено, а также информации, содержащейся в государственных информационных системах (далее – системы защиты информации).

2. Порядок аттестации систем защиты информации информационных систем, содержащих информацию, отнесенную к государственным секретам, определяется иными законодательными актами.

3. Для целей настоящего Положения применяются термины и их определения в значениях, установленных Законом, а также следующие термины и их определения:

  • аккредитованная испытательная лаборатория по требованиям безопасности информации – организация, аккредитованная для проведения испытаний продукции в области защиты информации;
  • аттестат соответствия – документ установленной формы, подтверждающий выполнение требований нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов;
  • аттестация – комплекс организационно-технических мероприятий, в результате которых подтверждается соответствие системы защиты информации требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов, и оформляется аттестатом соответствия;
  • заявитель – организация, обратившаяся с заявкой на проведение аттестации системы защиты информации;
  • система защиты информации – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты, функционирующих по правилам, установленным соответствующими нормативными правовыми актами в области защиты информации, в том числе техническими нормативными правовыми актами.

4. Деятельность по аттестации систем защиты информации координирует Оперативно-аналитический центр при Президенте Республики Беларусь в пределах его полномочий.

5. Аттестацию систем защиты информации проводят организации, имеющие соответствующие специальные разрешения (лицензии) Оперативно-аналитического центра при Президенте Республики Беларусь (далее – специализированные организации).

Владельцы государственных информационных систем, имеющие в своем составе подразделения по технической защите информации (далее – владельцы государственных информационных систем), вправе проводить аттестацию систем защиты информации, используемых при обработке информации, содержащейся в государственных информационных системах, владельцами которых они являются.

6. Аттестация систем защиты информации проводится до ввода информационной системы в эксплуатацию.

7. Наличие аттестата соответствия является основанием для использования системы защиты информации на период времени, установленный в аттестате соответствия.

8. Аттестация предусматривает комплексную оценку системы защиты информации в реальных условиях эксплуатации информационной системы и включает проведение следующих мероприятий:

  • анализ исходных данных по аттестуемой системе защиты информации;
  • разработка программы аттестации;
  • предварительное ознакомление с информационной системой и системой защиты информации;
  • проведение обследования информационной системы и системы защиты информации;
  • анализ разработанной документации по защите информации в информационной системе на соответствие требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов;
  • проведение испытаний средств защиты информации и оценка системы защиты информации в реальных условиях эксплуатации информационной системы;
  • анализ результатов испытаний средств защиты информации, системы защиты информации и принятие решения о выдаче аттестата соответствия;
  • выдача аттестата соответствия.

9. Расходы по проведению аттестации оплачиваются заявителями в соответствии с договором на проведение аттестации, заключенным между заявителем и специализированной организацией.

10. Затраты по аттестации вновь создаваемых или модернизируемых систем защиты информации включаются в общую смету расходов на их разработку (модернизацию).

11. Оперативно-аналитический центр при Президенте Республики Беларусь:

  • участвует в разработке проектов нормативных правовых актов по аттестации систем защиты информации, в том числе технических нормативных правовых актов;
  • осуществляет контроль за выполнением требований нормативных правовых актов по аттестации систем защиты информации, в том числе технических нормативных правовых актов;
  • осуществляет контроль за выполнением мероприятий по защите информации, обрабатываемой с применением аттестованных систем защиты информации;
  • ведет информационную базу аттестованных систем защиты информации.

12. Владельцы государственных информационных систем и специализированные организации выполняют следующие функции:

  • проводят аттестацию системы защиты информации и выдают аттестаты соответствия;
  • привлекают для проведения испытаний аккредитованные испытательные лаборатории по требованиям безопасности информации;
  • информируют Оперативно-аналитический центр при Президенте Республики Беларусь о своей деятельности в области аттестации систем защиты информации.

13. Заявители:

  • проводят подготовку системы защиты информации для аттестации путем реализации организационных и технических мер по защите информации;
  • привлекают на договорной основе специализированные организации для проведения аттестации системы защиты информации;
  • представляют документы и обеспечивают условия, необходимые для проведения аттестации системы защиты информации;
  • осуществляют эксплуатацию системы защиты информации;
  • извещают специализированные организации, которые провели аттестацию, обо всех изменениях в информационных технологиях, составе и размещении средств защиты информации, условиях их эксплуатации, которые могут повлиять на эффективность принятых мер по защите информации;
  • представляют документы и условия для осуществления контроля за эксплуатацией системы защиты информации, прошедшей аттестацию.

14. Аттестация проводится на основании заявки, подаваемой заявителем в специализированную организацию по форме согласно приложению 1, и исходных данных согласно приложению 2.

В случае проведения аттестации владельцем государственной информационной системы заявка на проведение аттестации не оформляется. Работы по аттестации проводятся аттестационной комиссией, назначенной приказом руководителя организации – владельца государственной информационной системы.

15. Для проведения аттестации разрабатывается программа аттестации, которая должна содержать перечень работ и их продолжительность, методики испытаний, перечень используемой контрольной аппаратуры и тестовых средств, перечень привлекаемых аккредитованных испытательных лабораторий по требованиям безопасности информации.

16. Специализированная организация в 30-дневный срок рассматривает заявку на проведение аттестации и на основании анализа исходных данных разрабатывает программу аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации.

17. Специализированная организация представляет заявителю решение о проведении аттестации и после согласования программы аттестации высылает проект договора на аттестацию.

18. Оценка системы защиты информации включает:

  • анализ организационной структуры информационной системы, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения системы защиты информации, разработанной документации и ее соответствия требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов;
  • проверку правильности отнесения информационной системы к классу типовых объектов информатизации, выбора и применения средств защиты информации;
  • рассмотрение и анализ результатов испытаний средств защиты информации и системы защиты информации;
  • проверку уровня подготовки кадров и распределения ответственности персонала за организацию и обеспечение выполнения требований по защите информации;
  • оценку системы защиты информации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
  • оформление протоколов испытаний (оценки) и заключения по результатам проверок.

19. По результатам аттестации оформляется аттестат соответствия.

20. Аттестация проводится до полного завершения всех проверок вне зависимости от промежуточных результатов испытаний. Если выявленные недостатки невозможно устранить в течение периода проведения аттестации, принимается решение об отказе в выдаче аттестата соответствия. Повторная аттестация специализированной организацией проводится после заключения отдельного договора на проведение работ по аттестации.

21. Аттестат соответствия подписывается руководителем организации – владельца государственной информационной системы либо руководителем специализированной организации, которая провела аттестацию, и заверяется печатью.

22. Аттестат соответствия на систему защиты информации, отвечающую требованиям по защите информации, выдается по форме согласно приложению 3.

23. Регистрация аттестатов соответствия осуществляется специализированной организацией в целях ведения информационной базы аттестованных систем защиты информации.

24. Сведения об аттестованных системах защиты информации представляются специализированной организацией (владельцем государственной информационной системы) в Оперативно-аналитический центр при Президенте Республики Беларусь не позднее 30 дней со дня выдачи аттестата соответствия.

Аттестат соответствия выдается на период, в течение которого должны обеспечиваться неизменность условий функционирования информационной системы и технологии обработки защищаемой информации, но не более чем на 5 лет.

Владелец аттестованной системы защиты информации несет ответственность за функционирование системы защиты информации в соответствии с законодательством.

В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных систем защиты информации обязаны пройти повторную аттестацию системы защиты информации.

Темы: 
аттестации систем защиты информации