ПРИКАЗ ОПЕРАТИВНО-АНАЛИТИЧЕСКОГО ЦЕНТРА ПРИ ПРЕЗИДЕНТЕ РЕСПУБЛИКИ БЕЛАРУСЬ

2 августа 2010 г. № 60

Об утверждении Положения о порядке определения поставщиков интернет-услуг, уполномоченных оказывать интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты

Изменения и дополнения:

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 28 марта 2012 г. № 32 (зарегистрировано в Национальном реестре - № 7/1982 от 30.03.2012 г.) <T61201982>;

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 26 июня 2014 г. № 53 (зарегистрировано в Национальном реестре - № 7/2796 от 27.06.2014 г.) <T61402796>

 

В соответствии с пунктом 7 Указа Президента Республики Беларусь от 1 февраля 2010 г. № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет» ПРИКАЗЫВАЮ:

1. Утвердить прилагаемое Положение о порядке определения поставщиков интернет-услуг, уполномоченных оказывать интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты.

2. Настоящий приказ вступает в силу после его официального опубликования.

 

Начальник

В.П.Вакульчик

 

 

УТВЕРЖДЕНО

Приказ
Оперативно-аналитического
центра при Президенте
Республики Беларусь
02.08.2010 № 60
(в редакции приказа
Оперативно-аналитического
центра при Президенте
Республики Беларусь
28.03.2012 № 32)

ПОЛОЖЕНИЕ
о порядке определения поставщиков интернет-услуг, уполномоченных оказывать интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты

1. Настоящее Положение устанавливает порядок определения Оперативно-аналитическим центром при Президенте Республики Беларусь (далее – ОАЦ) поставщиков интернет-услуг, уполномоченных оказывать интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты (далее – государственные органы и организации).

2. Для целей настоящего Положения применяются термины и их определения в значениях, установленных Указом Президента Республики Беларусь от 1 февраля 2010 г. № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет» (Национальный реестр правовых актов Республики Беларусь, 2010 г., № 29, 1/11368), Законом Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации» (Национальный реестр правовых актов Республики Беларусь, 2008 г., № 279, 2/1552) и ГОСТ ISO 19011-2013.

3. Поставщики интернет-услуг, не имеющие права на оказание интернет-услуг государственным органам и организациям, для получения такого права направляют ежегодно с 1 по 31 августа в ОАЦ заявление, подписанное руководителем юридического лица либо индивидуальным предпринимателем, в котором указываются:

для юридического лица – наименование и место его нахождения;

для индивидуального предпринимателя – фамилия, собственное имя, отчество, паспортные данные (серия, номер, когда и кем выдан, место жительства).

К заявлению прилагаются:

копии документа, подтверждающего государственную регистрацию юридического лица или индивидуального предпринимателя, специального разрешения (лицензии) на осуществление деятельности в области связи (без нотариального засвидетельствования);

описание реализованных в соответствии с требованиями согласно приложению (далее – предъявляемые требования) организационных, программных и (или) программно-технических решений для оказания интернет-услуг государственным органам и организациям;

список должностных лиц, ответственных за обеспечение безопасности при оказании услуг государственным органам и организациям, с указанием фамилии, собственного имени, отчества, контактных и паспортных данных (серия, номер, когда и кем выдан, место жительства), а также копии документов, подтверждающих их квалификацию.

4. ОАЦ ежегодно до 15 октября проводит оценку соответствия возможностей поставщиков интернет-услуг, направивших заявления, оказывать такие услуги государственным органам и организациям на основании требований нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов, а также предъявляемых требований. По результатам указанной оценки принимается решение о соответствии или несоответствии возможностей поставщика интернет-услуг оказывать интернет-услуги государственным органам и организациям.

5. Основаниями для отказа поставщику интернет-услуг в предоставлении права оказывать такие услуги государственным органам и организациям являются:

непредставление всех документов, определенных пунктом 3 настоящего Положения;

указание в документах недостоверных сведений;

выявленное при изучении документов либо в ходе оценки несоответствие предъявляемым требованиям реализованных организационных, программных и (или) программно-технических решений для оказания интернет-услуг государственным органам и организациям.

В случае принятия решения об отказе в предоставлении права оказывать интернет-услуги государственным органам и организациям ОАЦ до 25 октября года, в котором направлено заявление, письменно информирует об этом поставщика интернет-услуг с указанием причин отказа.

6. По результатам оценки поставщиков интернет-услуг предъявляемым требованиям ОАЦ вносит Президенту Республики Беларусь на согласование вопрос о включении их в перечень поставщиков интернет-услуг, оказывающих такие услуги государственным органам и организациям (далее – уполномоченные поставщики интернет-услуг).

Уполномоченные поставщики интернет-услуг вправе оказывать такие услуги государственным органам и организациям до их исключения из перечня.

7. При изменении сведений, указанных в заявлении либо прилагаемых к нему документах, уполномоченные поставщики интернет-услуг обязаны письменно информировать об этом ОАЦ в трехдневный срок со дня изменения таких сведений.

8. Уполномоченные поставщики интернет-услуг осуществляют внутренний аудит собственных систем защиты информации и ежегодно до 1 сентября представляют в ОАЦ заключение по результатам аудита.

9. ОАЦ осуществляет повторную оценку соответствия возможностей уполномоченного поставщика интернет-услуг предъявляемым требованиям в случаях:

изменения организационных, программных и (или) программно-технических решений для оказания интернет-услуг государственным органам и организациям;

изменения предъявляемых требований;

наличия уязвимостей систем защиты информации, в том числе по результатам рассмотрения заключений, представленных уполномоченными поставщиками интернет-услуг по результатам проведения ими аудита собственных систем защиты информации;

невыполнения уполномоченным поставщиком интернет-услуг предъявляемых требований.

10. При несоответствии поставщика интернет-услуг предъявляемым требованиям, установленным в результате повторной оценки, ОАЦ по согласованию с Президентом Республики Беларусь исключает этого поставщика из перечня уполномоченных поставщиков интернет-услуг.

 

 

Приложение

к Положению
о порядке определения поставщиков
интернет-услуг, уполномоченных оказывать
интернет-услуги государственным органам
и организациям, использующим в своей
деятельности сведения, составляющие
государственные секреты
(в редакции приказа
Оперативно-аналитического центра
при Президенте Республики Беларусь
26.06.2014 № 53)

Требования к поставщикам интернет-услуг, оказывающим интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты

1. Поставщики интернет-услуг при оказании таких услуг государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты (далее – государственные органы и организации), обязаны:

1.1. использовать при оказании интернет-услуг оборудование, размещенное на территории Республики Беларусь;

1.2. применять средства защиты информации, прошедшие подтверждение соответствия требованиям технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) в форме сертификации или декларирования соответствия;

1.3. разработать и внедрить план бесперебойного функционирования и восстановления работоспособности программных и (или) программно-аппаратных средств информационной системы, с использованием которой оказываются интернет-услуги;

1.4. обеспечить передачу в Оперативно-аналитический центр при Президенте Республики Беларусь (далее – ОАЦ) сведений:

о структурных и функциональных схемах информационных систем поставщика интернет-услуг, используемых для оказания услуг государственным органам и организациям;

о настройках и состоянии оборудования, используемого для маршрутизации и коммутации сети передачи данных;

об абонентах и предоставляемых им услугах;

об обнаружении критических событий безопасности.

Сроки представления сведений, указанных в части первой настоящего подпункта, их перечень и формат определяются в ходе проведения ОАЦ оценки соответствия возможностей поставщиков интернет-услуг оказывать интернет-услуги государственным органам и организациям;

1.5. определить ответственных администраторов безопасности и реализовать организационные, программные и (или) программно-технические решения, позволяющие обеспечить:

доступ к настройкам средств межсетевого экранирования, активного сетевого оборудования и системы безопасности только администраторам безопасности из доверенного сетевого сегмента поставщика интернет-услуг;

документирование изменений конфигурационных файлов сетевого оборудования, программных, программно-аппаратных средств защиты информации, конфигураций системного и прикладного программного обеспечения, идентификационной информации субъектов информационной системы поставщика интернет-услуг и хранение соответствующей информации не менее одного года;

обновление программного обеспечения, используемого для оказания интернет-услуг, в соответствии с порядком, установленным у поставщика интернет-услуг;

ведение и анализ журнала событий безопасности;

синхронизацию системного времени на серверном и активном сетевом оборудовании от единого (общего) источника (в качестве основного источника необходимо использовать данные республиканского унитарного предприятия «Белорусский государственный институт метрологии»);

межсетевое экранирование по портам протоколов транспортного уровня в соответствии с договором на оказание интернет-услуг;

выдачу и хранение реквизитов удаленного доступа потребителям интернет-услуг в соответствии с утвержденным руководителем поставщика интернет-услуг регламентом;

хранение данных авторизации в течение одного года;

фильтрацию трафика государственных органов и организаций от вредоносного программного обеспечения;

оповещение ОАЦ и определенных в договоре на оказание интернет-услуг должностных лиц государственного органа и организации об обнаружении уязвимостей систем защиты информации, работы вредоносного программного обеспечения в информационных системах этих органа и организации, оперативное принятие мер по нейтрализации выявленных угроз;

ограничение доступа государственных органов и организаций (за исключением органов, осуществляющих оперативно-розыскную деятельность, органов прокуратуры и предварительного следствия, органов Комитета государственного контроля, налоговых органов, судов и иных государственных органов и организаций, определяемых ОАЦ) к информации, указанной в части первой пункта 8 Указа Президента Республики Беларусь от 1 февраля 2010 г. № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет» (Национальный реестр правовых актов Республики Беларусь, 2010 г., № 29, 1/11368), посредством использования списков ограниченного доступа, формируемых уполномоченными государственными органами, поставщиком интернет-услуг;

1.6. предоставлять государственным органам и организациям IP-адреса из подсетей, специально выделенных для этих целей поставщиком интернет-услуг.

2. Поставщики интернет-услуг при оказании государственным органам и организациям услуг хостинга обязаны:

2.1. утвердить политику безопасности для размещения интернет-сайтов на всех видах предоставляемых услуг хостинга. Проводить анализ, пересмотр и контроль изменений разработанного документа. После внесения изменений актуализированная политика безопасности должна быть представлена в ОАЦ в течение 5 рабочих дней;

2.2. осуществлять размещение интернет-сайтов государственных органов и организаций после получения письменного уведомления о назначении администратора(ов) интернет-сайта;

2.3. организовывать хостинг по технологиям «виртуальный хостинг», «виртуальный сервер» или «выделенный сервер» в специально выделенных сетевых сегментах, разделенных средствами межсетевого экранирования;

2.4. осуществлять хостинг интернет-сайтов государственных органов и организаций, системы управления которыми не прошли подтверждение соответствия требованиям технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY), только по технологиям «выделенный сервер» и «виртуальный сервер»;

2.5. предоставлять доступ к административной части интернет-сайтов и серверам электронной почты государственных органов и организаций только по портам протоколов транспортного уровня с определенного перечня сетевых адресов, определенных в договоре на оказание интернет-услуг;

2.6. осуществлять полное резервное копирование информации интернет-сайтов в соответствии с политикой безопасности, но не реже одного раза в неделю;

2.7. обеспечить контроль целостности интернет-ресурсов;

2.8. обеспечить защиту от распределенных атак, направленных на нарушение доступности интернет-сайтов. Порог противодействия, а также уровень гарантированной пропускной способности устанавливается в политике безопасности и должен быть доведен до заинтересованных государственных органов и организаций;

2.9. предоставлять систему обмена электронной почтой с возможностью блокирования незапрашиваемой информации (спама);

2.10. обеспечить функционирование системы аудита и протоколирования событий безопасности интернет-сайтов. При этом журналы аудита должны содержать сведения о функционировании серверного и телекоммуникационного оборудования, программного обеспечения, средств защиты и контроля защищенности информации. Срок хранения данной информации составляет не менее одного года;

2.11. обеспечить в соответствии с политикой безопасности непрерывный мониторинг работоспособности интернет-сайтов, серверов, телекоммуникационного оборудования, средств защиты информации с оповещением администратора безопасности и ОАЦ о выявленных нарушениях;

2.12. устранять выявленные нарушения безопасности интернет-сайтов в соответствии с требованиями политики безопасности. При невозможности устранения указанных нарушений собственными силами в течение одного дня информировать ОАЦ и администраторов соответствующих интернет-сайтов.