УКАЗ ПРЕЗИДЕНТА РЕСПУБЛИКИ БЕЛАРУСЬ

25 октября 2011 г. № 486

О некоторых мерах по обеспечению безопасности критически важных объектов информатизации

Изменения и дополнения:

Указ Президента Республики Беларусь от 16 апреля 2013 г. № 196 (Национальный правовой Интернет-портал Республики Беларусь, 18.04.2013, 1/14225) <P31300196>

 

В целях повышения эффективности деятельности государственных органов и иных организаций по обеспечению национальной безопасности в информационной сфере:

1. Создать Государственный реестр критически важных объектов информатизации.

2. Утвердить прилагаемое Положение об отнесении объектов информатизации к критически важным и обеспечении безопасности критически важных объектов информатизации.

3. Государственным органам и иным организациям, в собственности, хозяйственном ведении или оперативном управлении которых имеются объекты информатизации, которые в соответствии с Положением, указанным в пункте 2 настоящего Указа, а также отраслевыми критериями отнесения объектов информатизации к критически важным, установленными Советом Министров Республики Беларусь, могут быть отнесены к критически важным объектам, в шестимесячный срок представить в Оперативно-аналитический центр при Президенте Республики Беларусь сведения о критически важных объектах информатизации для формирования Государственного реестра критически важных объектов информатизации.

4. Совету Министров Республики Беларусь совместно с Оперативно-аналитическим центром при Президенте Республики Беларусь в двухмесячный срок обеспечить приведение актов законодательства в соответствие с настоящим Указом и принять иные меры по его реализации.

5. Контроль за реализацией настоящего Указа возложить на Оперативно-аналитический центр при Президенте Республики Беларусь.

6. Настоящий Указ вступает в силу через шесть месяцев после его официального опубликования, за исключением пунктов 3–5 и настоящего пункта, которые вступают в силу после официального опубликования данного Указа.

 

Президент Республики Беларусь

А.Лукашенко

 

 

УТВЕРЖДЕНО

Указ Президента
Республики Беларусь

25.10.2011 № 486

ПОЛОЖЕНИЕ
об отнесении объектов информатизации к критически важным и обеспечении безопасности критически важных объектов информатизации

ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящим Положением устанавливается порядок отнесения объектов информатизации к критически важным и обеспечения безопасности критически важных объектов информатизации.

Настоящее Положение не распространяется на объекты информатизации, предназначенные для обработки информации, содержащей государственные секреты.

2. Для целей настоящего Положения применяются термины и их определения в значениях, определенных Концепцией национальной безопасности Республики Беларусь, утвержденной Указом Президента Республики Беларусь от 9 ноября 2010 г. № 575 (Национальный реестр правовых актов Республики Беларусь, 2010 г., № 276, 1/12080), а также следующие термины и их определения:

владелец объекта информатизации – субъект, реализующий права владения, пользования и распоряжения объектом информатизации в соответствии с законодательством;

критическая инфраструктура – инфраструктура, являющаяся жизненно важной для государства, отказ или разрушение которой может оказать существенное отрицательное воздействие на национальную безопасность;

критически важный объект информатизации (далее – КВОИ) – объект информатизации, который:

обеспечивает функционирование экологически опасных и (или) социально значимых производств и (или) технологических процессов, нарушение штатного режима которых может привести к чрезвычайной ситуации техногенного характера;

осуществляет функции информационной системы, нарушение (прекращение) функционирования которой может привести к значительным негативным последствиям для национальной безопасности в политической, экономической, социальной, информационной, экологической, иных сферах;

обеспечивает предоставление значительного объема информационных услуг, частичное или полное прекращение оказания которых может привести к значительным негативным последствиям для национальной безопасности в политической, экономической, социальной, информационной, экологической, иных сферах;

объект информатизации – средства электронной вычислительной техники вместе с программным обеспечением, в том числе автоматизированные системы различного уровня и назначения, вычислительные сети и центры, автономные стационарные и персональные электронные вычислительные машины, используемые для обработки информации;

угроза безопасности КВОИ – совокупность условий и факторов, создающих потенциальную или реальную опасность для обрабатываемой на КВОИ защищаемой информации или штатного режима функционирования КВОИ, которая может нанести ущерб владельцу объекта информатизации, привести к утрате и (или) искажению указанной информации, ее модификации в результате намеренных либо непреднамеренных действий (бездействия) источников угроз.

3. Отнесение объекта информатизации к КВОИ осуществляется в целях проведения работ по защите обрабатываемой на объекте информатизации информации от воздействия угроз безопасности КВОИ.

4. Финансирование расходов, связанных с организацией отнесения объектов информатизации к критически важным и обеспечением их безопасности, осуществляется в пределах средств, предусмотренных в республиканском бюджете на содержание государственных органов и иных организаций, а также за счет собственных средств организаций и иных источников, не запрещенных законодательством.

ГЛАВА 2
КОМПЕТЕНЦИЯ СОВЕТА МИНИСТРОВ РЕСПУБЛИКИ БЕЛАРУСЬ, ОПЕРАТИВНО-АНАЛИТИЧЕСКОГО ЦЕНТРА ПРИ ПРЕЗИДЕНТЕ РЕСПУБЛИКИ БЕЛАРУСЬ В ОБЛАСТИ ФУНКЦИОНИРОВАНИЯ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ КВОИ

5. Совет Министров Республики Беларусь:

устанавливает отраслевые критерии отнесения объектов информатизации к КВОИ (далее – отраслевые критерии);

утверждает порядок защиты КВОИ по отраслевому принципу;

определяет показатели уровня ущерба национальным интересам Республики Беларусь в политической, экономической, социальной, информационной, экологической и иных сферах в случае возникновения угроз различного характера в отношении объекта информатизации (его составляющих элементов).

6. Оперативно-аналитический центр при Президенте Республики Беларусь (далее – ОАЦ):

координирует деятельность государственных органов и иных организаций по технической и криптографической защите информации, обрабатываемой на КВОИ;

осуществляет формирование и ведение Государственного реестра критически важных объектов информатизации (далее – реестр), а также предоставление сведений из него;

вносит предписания об устранении владельцами объектов информатизации и другими организациями нарушений требований глав 3–5 настоящего Положения, в том числе по безопасности КВОИ, и выносит представления о привлечении их к ответственности в соответствии с законодательными актами;

принимает нормативные правовые акты по вопросам отнесения объектов информатизации к КВОИ и обеспечения безопасности КВОИ;

осуществляет внешний контроль за обеспечением безопасности КВОИ в порядке, установленном ОАЦ;

осуществляет иные полномочия в области функционирования и обеспечения безопасности КВОИ, предусмотренные настоящим Положением и другими законодательными актами.

ГЛАВА 3
ПОРЯДОК ОТНЕСЕНИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ К КВОИ

7. Отнесение объекта информатизации к КВОИ осуществляется на основании отраслевых критериев и с учетом уровня ущерба национальным интересам в политической, экономической, социальной, информационной, экологической и иных сферах, причинение которого возможно в случае возникновения угроз различного характера в отношении объекта информатизации (его составляющих элементов).

8. Решение об отнесении объекта информатизации к КВОИ (об отказе в его отнесении к КВОИ) принимается в виде приказа (распоряжения) руководителем (уполномоченным заместителем руководителя) государственного органа (организации), в подчинении (составе, системе) которого находится владелец объекта информатизации (в отношении объекта информатизации, не имеющего такой подчиненности, – руководителем (уполномоченным заместителем руководителя) облисполкома, Минского горисполкома) (далее – отраслевой орган государственного управления), по согласованию с ОАЦ на основании мотивированного ходатайства владельца объекта информатизации не позднее одного месяца со дня его получения. В случае если владельцем объекта информатизации выступает непосредственно отраслевой орган государственного управления, решение об отнесении такого объекта информатизации к КВОИ принимается руководителем (уполномоченным заместителем руководителя) отраслевого органа государственного управления самостоятельно.

Ходатайство должно содержать:

описание объекта информатизации;

заключение владельца объекта информатизации о соответствии его отраслевым критериям, составленное по форме, утвержденной ОАЦ.

Копия решения об отнесении объекта информатизации к КВОИ в течение трех дней направляется в ОАЦ для включения объекта информатизации в реестр. 

9. ОАЦ в течение трех рабочих дней со дня получения копии приказа (распоряжения) включает объект информатизации в реестр. Объект информатизации считается отнесенным к КВОИ со дня его включения в реестр. 

10. В случае отказа отраслевого органа государственного управления в отнесении объекта информатизации к КВОИ его владельцу в течение трех рабочих дней со дня принятия решения об отказе направляется мотивированное уведомление.

Основанием для отказа в отнесении объекта информатизации к КВОИ является несоответствие объекта информатизации отраслевым критериям.

11. В случае если владелец объекта информатизации не обращается в установленном порядке с ходатайством об отнесении объекта информатизации к КВОИ, решение об отнесении объекта информатизации к КВОИ принимается руководителем (уполномоченным заместителем руководителя) отраслевого органа государственного управления самостоятельно либо по представлению ОАЦ, о чем в течение трех рабочих дней уведомляется владелец объекта информатизации.

ГЛАВА 4
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ КВОИ

12. Владелец КВОИ обязан обеспечить безопасное функционирование КВОИ.

Обеспечение безопасности КВОИ включает комплекс мероприятий по созданию системы безопасности КВОИ правового, организационного и технического характера, в том числе по мониторингу угроз безопасности КВОИ и принятию мер реагирования на угрозы безопасности КВОИ.

13. Организация функционирования и обеспечения безопасности КВОИ осуществляется в соответствии с требованиями, установленными эксплуатационной документацией на КВОИ и техническими нормативными правовыми актами.

14. В целях определения соответствия функциональных характеристик КВОИ требованиям, установленным эксплуатационной документацией на КВОИ и техническими нормативными правовыми актами, осуществляется внутренний и внешний контроль.

15. Внутренний контроль осуществляется владельцем КВОИ не реже одного раза в год.

Результаты внутреннего контроля оформляются актом, который составляется в десятидневный срок с момента завершения мероприятий внутреннего контроля в двух экземплярах, один из которых в течение трех рабочих дней направляется в ОАЦ.

16. Внешний контроль осуществляется ОАЦ один раз в пять лет, а также в случаях:

принятия ОАЦ решения о проведении внешнего контроля по результатам внутреннего контроля;

принятия владельцем объекта информатизации решения об изменении структуры или состава КВОИ;

изменения местонахождения КВОИ;

возникновения по месту расположения КВОИ чрезвычайной ситуации техногенного характера;

наличия сведений, в том числе полученных от государственного органа, иной организации или физического лица, свидетельствующих о невыполнении владельцем КВОИ требований, установленных эксплуатационной документацией на КВОИ и техническими нормативными правовыми актами.

Результаты внешнего контроля оформляются актом, который составляется в десятидневный срок с момента завершения мероприятий внешнего контроля в двух экземплярах, один из которых в течение трех рабочих дней направляется владельцу объекта информатизации.

17. Если по результатам внутреннего и внешнего контроля выявляется несоответствие КВОИ требованиям, установленным эксплуатационной документацией на КВОИ и техническими нормативными правовыми актами, владелец объекта информатизации обязан в месячный срок принять меры по устранению выявленных несоответствий, проинформировав об этом ОАЦ.

ГЛАВА 5
ИСКЛЮЧЕНИЕ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ИЗ ЧИСЛА КВОИ

18. Исключение объекта информатизации из числа КВОИ осуществляется в случаях:

несоответствия объекта информатизации отраслевым критериям;

прекращения эксплуатации КВОИ.

19. Решение об исключении объекта информатизации из числа КВОИ принимается в виде приказа (распоряжения) руководителем (уполномоченным заместителем руководителя) отраслевого органа государственного управления по согласованию с ОАЦ на основании мотивированного ходатайства владельца объекта информатизации не позднее одного месяца со дня его получения. В ходатайстве должна быть указана причина принятия такого решения в соответствии с пунктом 18 настоящего Положения. В случае если владельцем объекта информатизации выступает непосредственно отраслевой орган государственного управления, решение об исключении объекта информатизации из числа КВОИ принимается руководителем (уполномоченным заместителем руководителя) отраслевого органа государственного управления самостоятельно.

Копия решения об исключении объекта информатизации из числа КВОИ в течение трех рабочих дней направляется в ОАЦ для исключения объекта информатизации из реестра, а также владельцу объекта информатизации.

20. ОАЦ в течение трех рабочих дней со дня получения копии приказа (распоряжения) исключает объект информатизации из реестра. Объект информатизации считается исключенным из числа КВОИ со дня его исключения из реестра.

21. В случае если владелец объекта информатизации не обращается с ходатайством об исключении объекта информатизации из числа КВОИ при наличии основания, указанного в пункте 18 настоящего Положения, решение об исключении объекта информатизации из числа КВОИ принимается руководителем (уполномоченным заместителем руководителя) отраслевого органа государственного управления самостоятельно либо по представлению ОАЦ, о чем в течение трех рабочих дней уведомляется владелец объекта информатизации.