Приказ РБ
№ 60 от 02.08.2010. Об утверждении Положения о порядке определения поставщиков интернет-услуг, уполномоченных оказывать интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты
Зарегистрировано в НРПА РБ 3 августа 2010 г. N 7/1316
В соответствии с пунктом 7 Указа Президента Республики Беларусь от 1 февраля 2010 г. N 60 "О мерах по совершенствованию использования национального сегмента сети Интернет" ПРИКАЗЫВАЮ:
1. Утвердить прилагаемое Положение о порядке определения поставщиков интернет-услуг, уполномоченных оказывать интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты.
2. Настоящий приказ вступает в силу после его официального опубликования.
Начальник В.П.Вакульчик
УТВЕРЖДЕНО Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 02.08.2010 N 60
1. Настоящее Положение устанавливает порядок определения Оперативно-аналитическим центром при Президенте Республики Беларусь (далее - ОАЦ) поставщиков интернет-услуг, уполномоченных оказывать интернет-услуги государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты (далее - государственные органы и организации).
2. Для целей настоящего Положения применяются термины и их определения в значениях, установленных Указом Президента Республики Беларусь от 1 февраля 2010 г. N 60 "О мерах по совершенствованию использования национального сегмента сети Интернет" (Национальный реестр правовых актов Республики Беларусь, 2010 г., N 29, 1/11368), Законом Республики Беларусь от 10 ноября 2008 года "Об информации, информатизации и защите информации" (Национальный реестр правовых актов Республики Беларусь, 2008 г., N 279, 2/1552) и государственным стандартом СТБ ИСО 19011-2003.
3. Поставщики интернет-услуг, не имеющие права на оказание интернет-услуг государственным органам и организациям, для получения такого права направляют ежегодно с 1 по 31 августа в ОАЦ заявление, подписанное руководителем юридического лица либо индивидуальным предпринимателем, в котором указываются:
для юридического лица - наименование и место его нахождения;
для индивидуального предпринимателя - фамилия, имя, отчество, паспортные данные (серия, номер, когда и кем выдан, место жительства).
К заявлению прилагаются:
копии документа, подтверждающего государственную регистрацию юридического лица или индивидуального предпринимателя, специального разрешения (лицензии) на осуществление деятельности в области связи (без нотариального засвидетельствования);
описание реализованных в соответствии с требованиями согласно приложению (далее - предъявляемые требования) организационных, программных и (или) программно-технических решений для оказания интернет-услуг государственным органам и организациям;
список должностных лиц, ответственных за обеспечение безопасности при оказании услуг государственным органам и организациям, с указанием фамилии, имени, отчества, контактных и паспортных данных (серия, номер, когда и кем выдан, место жительства), а также копии документов, подтверждающих их квалификацию.
4. ОАЦ ежегодно до 15 октября проводит оценку соответствия возможностей поставщиков интернет-услуг, направивших заявления, оказывать такие услуги государственным органам и организациям на основании требований нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов, а также предъявляемых требований. По результатам указанной оценки принимается решение о соответствии или несоответствии возможностей поставщика интернет-услуг оказывать интернет-услуги государственным органам и организациям.
5. Основаниями для отказа поставщику интернет-услуг в предоставлении права оказывать такие услуги государственным органам и организациям являются:
непредставление всех документов, определенных пунктом 3 настоящего Положения;
указание в документах недостоверных сведений;
выявленное при изучении документов либо в ходе оценки несоответствие предъявляемым требованиям реализованных организационных, программных и (или) программно-технических решений для оказания интернет-услуг государственным органам и организациям.
В случае принятия решения об отказе в предоставлении права оказывать интернет-услуги государственным органам и организациям ОАЦ до 25 октября года, в котором направлено заявление, письменно информирует об этом поставщика интернет-услуг с указанием причин отказа.
6. По результатам оценки поставщиков интернет-услуг предъявляемым требованиям ОАЦ вносит Президенту Республики Беларусь на согласование вопрос о включении их в перечень поставщиков интернет-услуг, оказывающих такие услуги государственным органам и организациям (далее - уполномоченные поставщики интернет-услуг).
Уполномоченные поставщики интернет-услуг вправе оказывать такие услуги государственным органам и организациям до их исключения из перечня.
7. При изменении сведений, указанных в заявлении либо прилагаемых к нему документах, уполномоченные поставщики интернет-услуг обязаны письменно информировать об этом ОАЦ в трехдневный срок со дня изменения таких сведений.
8. Уполномоченные поставщики интернет-услуг осуществляют внутренний аудит собственных систем защиты информации и ежегодно до 1 сентября представляют в ОАЦ заключение по результатам аудита.
9. ОАЦ осуществляет повторную оценку соответствия возможностей уполномоченного поставщика интернет-услуг предъявляемым требованиям в случаях:
изменения организационных, программных и (или) программно-технических решений для оказания интернет-услуг государственным органам и организациям;
изменения предъявляемых требований;
наличия уязвимостей систем защиты информации, в том числе по результатам рассмотрения заключений, представленных уполномоченными поставщиками интернет-услуг по результатам проведения ими аудита собственных систем защиты информации;
невыполнения уполномоченным поставщиком интернет-услуг предъявляемых требований.
10. При несоответствии поставщика интернет-услуг предъявляемым требованиям, установленным в результате повторной оценки, ОАЦ по согласованию с Президентом Республики Беларусь исключает этого поставщика из перечня уполномоченных поставщиков интернет-услуг.
Приложение
к Положению о порядке определения
поставщиков интернет-услуг,
уполномоченных оказывать
интернет-услуги государственным органам
и организациям, использующим в своей
деятельности сведения, составляющие
государственные секреты
ТРЕБОВАНИЯ К ПОСТАВЩИКАМ ИНТЕРНЕТ-УСЛУГ, ОКАЗЫВАЮЩИМ ИНТЕРНЕТ-УСЛУГИ ГОСУДАРСТВЕННЫМ ОРГАНАМ И ОРГАНИЗАЦИЯМ, ИСПОЛЬЗУЮЩИМ В СВОЕЙ ДЕЯТЕЛЬНОСТИ СВЕДЕНИЯ, СОСТАВЛЯЮЩИЕ ГОСУДАРСТВЕННЫЕ СЕКРЕТЫ
1. Поставщики интернет-услуг при оказании таких услуг государственным органам и организациям, использующим в своей деятельности сведения, составляющие государственные секреты (далее - государственные органы и организации), обязаны:
1.1. использовать при оказании интернет-услуг оборудование, размещенное на территории Республики Беларусь;
1.2. применять средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы;
1.3. разработать и внедрить план бесперебойного функционирования и восстановления работоспособности программных и (или) программно-технических средств информационной системы, с использованием которой оказываются интернет-услуги;
1.4. обеспечить передачу в Оперативно-аналитический центр при Президенте Республики Беларусь (далее - ОАЦ) сведений в соответствии с согласованными с ОАЦ сроками, перечнем и форматами:
о структурных и функциональных схемах информационных систем поставщика интернет-услуг;
о настройках и состоянии оборудования, используемого для маршрутизации и коммутации сети передачи данных;
об абонентах и предоставляемых услугах;
об обнаружении критических событий безопасности;
1.5. определить ответственных администраторов безопасности и реализовать организационные, программные и (или) программно-технические решения, позволяющие обеспечить:
доступ к настройкам средств межсетевого экранирования, активного сетевого оборудования и системы безопасности только администраторам безопасности из доверенного сетевого сегмента поставщика интернет-услуг;
документирование изменений конфигурационных файлов сетевого оборудования, программных, программно-технических средств защиты информации, конфигураций системного и прикладного программного обеспечения, идентификационной информации субъектов информационной системы поставщика интернет-услуг и хранение соответствующей информации не менее одного года;
обновление программного обеспечения, используемого для оказания интернет-услуг, в соответствии с порядком, установленным у поставщика интернет-услуг;
ведение и анализ журнала событий безопасности;
синхронизацию системного времени на серверном и активном сетевом оборудовании от единого (общего) источника (в качестве основного источника необходимо использовать данные республиканского унитарного предприятия "Белорусский государственный институт метрологии");
межсетевое экранирование по портам протоколов транспортного уровня в соответствии с договором на оказание интернет-услуг;
выдачу и хранение реквизитов удаленного доступа потребителям интернет-услуг в соответствии с утвержденным руководителем поставщика интернет-услуг регламентом;
хранение данных авторизации в течение одного года;
предоставление государственным органам и организациям статического IP-адреса;
фильтрацию трафика государственных органов и организаций от вредоносного программного обеспечения;
оповещение ОАЦ и должностных лиц государственного органа и организации, определенных договором, при обнаружении уязвимостей систем защиты информации, работы вредоносных компьютерных программ в информационных системах этих органа и организации;
ограничение доступа государственных органов и организаций (за исключением органов, осуществляющих оперативно-розыскную деятельность, органов прокуратуры и предварительного следствия, органов Комитета государственного контроля, налоговых органов, судов и иных государственных органов и организаций, определяемых ОАЦ) к информации, указанной в части первой пункта 8 Указа Президента Республики Беларусь от 1 февраля 2010 г. N 60, посредством использования списков ограниченного доступа, формируемых уполномоченными государственными органами, поставщиком интернет-услуг, а также с использованием системы специализированных серверов доменных имен.
2. Поставщики интернет-услуг при оказании государственным органам и организациям услуг хостинга обязаны:
2.1. определить и письменно согласовать с ОАЦ политику безопасности для размещения интернет-сайтов на всех видах предоставляемых услуг хостинга;
2.2. осуществлять размещение интернет-сайтов государственных органов и организаций после получения от их владельцев письменного уведомления о назначении администратора(ов) интернет-сайта;
2.3. организовывать хостинг по технологиям "виртуальный хостинг", "виртуальный сервер" или "выделенный сервер" в специально выделенных сетевых сегментах, разделенных средствами межсетевого экранирования;
2.4. осуществлять хостинг интернет-сайтов государственных органов и организаций, не предоставивших аттестат соответствия на систему защиты информации, только по технологиям "выделенный сервер" и "виртуальный сервер";
2.5. предоставлять доступ к административной части интернет-сайтов и серверам электронной почты государственных органов и организаций только по портам протоколов транспортного уровня с определенного перечня сетевых адресов, определенных в договоре на оказание интернет-услуг. При этом использовать сертифицированные или прошедшие государственную экспертизу средства защиты информации, реализующие защищенные протоколы обмена, или обеспечить организацию удаленного доступа через защищенные протоколы обмена посредством соединения, не имеющего выход в сеть Интернет;
2.6. осуществлять полное резервное копирование информации интернет-сайтов в соответствии с политикой безопасности;
2.7. предоставлять систему обмена электронной почтой с возможностью блокирования незапрашиваемой информации (спама);
2.8. обеспечить функционирование системы аудита и протоколирования событий безопасности интернет-сайтов.
Журналы аудита должны содержать сведения о функционировании серверного и телекоммуникационного оборудования, программного обеспечения, средств защиты и контроля защищенности информации. Срок хранения данной информации составляет не менее одного года;
2.9. обеспечить в соответствии с политикой безопасности непрерывный мониторинг работоспособности интернет-сайтов, серверов, телекоммуникационного оборудования, средств защиты информации с оповещением администратора безопасности и ОАЦ о нарушениях функционирования системы защиты информации;
2.10. устранять выявленные нарушения безопасности интернет-сайтов в соответствии с требованиями политики безопасности. При невозможности устранения указанных нарушений собственными силами в течение одного дня информировать ОАЦ и администраторов соответствующих интернет-сайтов.
Приказы РБ – смежные документы:
- № 403-Ц - 2010 год. Об утверждении норм времени на перевозку грузов автомобильным транспортом и норм затрат на техническое обслуживание и ремонт автомобильных транспортных средств
- № 35 - 2010 год. О признании утратившими силу некоторых приказов Министерства природных ресурсов и охраны окружающей среды Республики Беларусь
- № 299 - 2010 год. О внесении дополнений в Методические указания по определению стоимости строительства в текущем уровне цен, расчету и применению индексов цен в строительстве (РСН 8.01.105-2007)
- № 297 - 2010 год. Об утверждении Методических рекомендаций, учитывающих особенности определения стоимости строительства по сложным объектам, расположенным на территории г. Минска, включенным в государственную и (или) городскую инвестиционные программы
- № 519 - 2010 год. Об утверждении Инструкции о порядке организации и проведения проверок финансово-хозяйственной деятельности организаций, подчиненных или входящих в состав Министерства образования Республики Беларусь, и признании утратившим силу приказа Министерства образования Республики Беларусь от 26 декабря 2007 г. N 806