4 марта 2011, приказом №18 Оперативно-аналитического центра при Президенте Республики Беларусь утверждено положение о порядке применения средств криптографической защиты информации в системах информации.
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ПОРЯДКЕ ПРИМЕНЕНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМАХ ЗАЩИТЫ ИНФОРМАЦИИ
В соответствии со статьей 12 Закона Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации» ПРИКАЗЫВАЮ:
1. Утвердить прилагаемое Положение о порядке применения средств криптографической защиты информации в системах защиты информации.
2. Контроль за выполнением настоящего приказа возложить на заместителя начальника Оперативно-аналитического центра при Президенте Республики Беларусь – начальника управления защиты информации.
3. Настоящий приказ вступает в силу после его официального опубликования.
УТВЕРЖДЕНО
Приказ Оперативно-аналитического центра
при Президенте Республики Беларусь
04.03.2011 № 18
ПОЛОЖЕНИЕ
о порядке применения средств криптографической защиты информации в системах защиты информации
1. Настоящее Положение определяет порядок применения средств криптографической защиты информации (далее – СКЗИ) в системах защиты информации государственных информационных систем, а также информационных систем, содержащих информацию, распространение и (или) предоставление которой ограничено (далее – информационные системы).
2. Порядок применения СКЗИ в информационных системах, содержащих информацию, отнесенную к государственным секретам, определяется иными нормативными правовыми актами.
3. Для целей настоящего Положения применяются термины и их определения в значениях, установленных Законом Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и защите информации» (Национальный реестр правовых актов Республики Беларусь, 2008 г., № 279, 2/1552), постановлением Совета Министров Республики Беларусь от 26 мая 2009 г. № 675 «О некоторых вопросах защиты информации» (Национальный реестр правовых актов Республики Беларусь, 2009 г., № 136, 5/29837), техническими нормативными правовыми актами в области защиты информации (далее – ТНПА), а также следующие термины и их определения:
средства криптографической защиты информации – программные, программно-аппаратные (программно-технические) и технические (аппаратные) средства защиты информации, реализующие одну или несколько криптографических операций (шифрование, выработка и проверка электронной цифровой подписи, хэширование, имитозащита, криптографические протоколы), включая средства управления криптографическими ключами;
критический объект – объект, несанкционированное раскрытие или модификация которого снижают безопасность СКЗИ.
4. СКЗИ применяются для обеспечения конфиденциальности, контроля целостности (неизменности) и подлинности информации в информационных системах. СКЗИ могут объединяться в системы или комплексы. СКЗИ должны эксплуатироваться в соответствии с комплексом организационных мер.
5. Координация деятельности по применению СКЗИ в информационных системах осуществляется Оперативно-аналитическим центром при Президенте Республики Беларусь (далее – ОАЦ) в пределах предоставленных ему полномочий.
6. Решение о применении СКЗИ принимается собственником (владельцем) информационной системы при реализации комплекса мероприятий по созданию системы защиты информации в информационной системе на этапе разработки или корректировки политики информационной безопасности и задания по безопасности на данную систему. К указанным работам собственники (владельцы) информационных систем могут привлекать организации, имеющие специальные разрешения (лицензии) ОАЦ на осуществление деятельности по технической защите информации, в том числе криптографическими методами, включая применение электронной цифровой подписи, в части составляющих данный вид деятельности работ по разработке средств криптографической защиты информации.
7. Задание по безопасности должно включать функциональные требования к криптографическим операциям, выполняемым СКЗИ, управлению криптографическими ключами данных СКЗИ, а также комплексу средств обеспечения безопасности СКЗИ.
8. СКЗИ должны выполнять криптографические операции в соответствии с заданными криптографическими алгоритмами и длинами криптографических ключей, которые удовлетворяют ТНПА и документам согласно приложению или, при их отсутствии, быть рекомендованы ОАЦ.
9. Для каждой криптографической операции, реализованной в СКЗИ, в задании по безопасности должны быть определены требования по управлению криптографическими ключами, включающие требования по их генерации, распределению, хранению, доступу к ним и их уничтожению. Средства управления криптографическими ключами должны реализовывать алгоритмы генерации криптографических ключей, методы распределения, доступа и уничтожения криптографических ключей в соответствии с ТНПА и документами согласно приложению или, при их отсутствии, быть рекомендованы ОАЦ. На всех этапах жизненного цикла криптографических ключей должна быть обеспечена их защита от несанкционированного доступа.
Вопросы управления криптографическими ключами СКЗИ должны быть изложены в общей спецификации объекта задания по безопасности.
10. Комплекс средств обеспечения безопасности СКЗИ должен обеспечивать решение следующих задач:
защита СКЗИ от несанкционированного воздействия или несанкционированного использования;
предотвращение несанкционированного раскрытия содержимого СКЗИ, к которому установлен ограниченный доступ, включая общие (открытые) криптографические ключи и другие критические объекты;
предотвращение несанкционированной модификации СКЗИ, включая несанкционированное изменение, замену, добавление и уничтожение криптографических ключей, а также других критических объектов;
поддержка требуемого рабочего режима СКЗИ;
выявление ошибок в работе СКЗИ и предотвращение компрометации в результате этих ошибок критических объектов.
Требования к комплексу средств обеспечения безопасности СКЗИ должны основываться на ТНПА и документах согласно приложению или, при их отсутствии, быть рекомендованы ОАЦ.
В случае реализации КСОБ своих задач с помощью криптографических операций дополнительно в задании по безопасности должны быть включены соответствующие компоненты функциональных требований со всеми имеющимися зависимостями.
11. СКЗИ, использующиеся в информационных системах, подлежат сертификации в Национальной системе подтверждения соответствия Республики Беларусь или государственной экспертизе на соответствие требованиям безопасности информации, содержащимся в ТНПА и документах согласно приложению.
Применение в информационных системах СКЗИ, не прошедших сертификацию или государственную экспертизу на соответствие указанным в части первой настоящего пункта требованиям, запрещается.
12. Организационные меры, которые необходимо соблюдать при эксплуатации СКЗИ, должны включать в себя меры по обеспечению особого режима допуска на территорию (в помещения), где может быть осуществлен доступ к СКЗИ и криптографическим ключам (носителям), а также меры по разграничению доступа к ним по кругу лиц. Данные организационные меры должны быть отражены в политике информационной безопасности информационной системы.
13. При принятии собственником (владельцем) информационной системы, относящейся к объекту информатизации класса А2 или Б2, решения о применении СКЗИ для защиты информации, распространение и (или) предоставление которой ограничено, определенной в соответствии с законодательством (далее – информация для служебного пользования), им должны быть выполнены следующие организационные и технические меры:
должны использоваться только программно-аппаратные (программно-технические) или технические (аппаратные) СКЗИ (криптографические операции которых выполняются в специализированном техническом устройстве);
данные СКЗИ должны быть установлены на отдельном выделенном компьютере, не подключенном к локальным и глобальным сетям передачи данных (в случае, когда такое подключение требуется для обеспечения технологических процессов функционирования информационных систем, оно должно осуществляться с применением средств защиты информации, имеющих сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы, обеспечивающих исключение возможности несанкционированного получения информации для служебного пользования);
криптографические алгоритмы, долговременные параметры и длины криптографических ключей должны быть рекомендованы ОАЦ;
личные (секретные) криптографические ключи не должны покидать криптографическую границу данных СКЗИ;
порядок управления криптографическими ключами должен исключать компрометацию всех законных пользователей в случае компрометации ключей одного из них;
должен вестись учет доступа к данному компьютеру и СКЗИ, исключающий физический доступ к ним неуполномоченных лиц;
на данном компьютере должно быть установлено антивирусное программное обеспечение;
информация для служебного пользования, выходящая за пределы контролируемой зоны объекта информатизации класса Б2, должна быть зашифрована с использованием СКЗИ, удовлетворяющих требованиям пункта 11 настоящего Положения.
14. В случае принятия решения об использовании СКЗИ при организации обмена информацией, распространение и (или) предоставление которой ограничено, между межведомственными (корпоративными) информационными системами тип применяемых СКЗИ, криптографические операции, управление криптографическими ключами, форматы зашифрованных и (или) подписанных электронной цифровой подписью сообщений и другие вопросы совместимости СКЗИ определяются соглашениями между собственниками (владельцами) данных информационных систем. В рамках организации межведомственного взаимодействия информационных систем также может быть использована Государственная система управления открытыми ключами.
15. Контроль за соблюдением установленных требований по применению СКЗИ в процессе эксплуатации информационной системы осуществляет ОАЦ в пределах предоставленных ему полномочий.
16. Текущий контроль за применением СКЗИ осуществляется подразделением технической защиты информации или назначенным должностным лицом, ответственным за выполнение мероприятий по технической защите информации у собственника (владельца) информационной системы.
Приложение
к Положению о порядке
применения средств
криптографической защиты
информации в системах
защиты информации
ПЕРЕЧЕНЬ
технических нормативных правовых актов и документов, в которых определены требования к средствам криптографической защиты информации и на соответствие которым осуществляется сертификация или государственная экспертиза
| Наименование средств криптографической защиты информации | Наименование технических нормативных правовых актов и документов, на соответствие которым осуществляется сертификация или государственная экспертиза |
|---|---|
| 1. Средства шифрования | ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» СТБ 34.101.31-2011 «Информационные технологии. Защита информации. Криптографические алгоритмы шифрования и контроля целостности» РД РБ 07040.1202—2003 «Банковские технологии. Процедура выработки псевдослучайных данных с использованием секретного параметра» Проект Руководящего документа Республики Беларусь «Банковские технологии. Протоколы формирования общего ключа» СТБ П 34.101.27-2007 «Информационные технологии. Методы и средства безопасности. Профиль защиты программных средств криптографической защиты информации» (задание по безопасности) или СТБ П 34.101.43-2009 «Информационные технологии. Методы и средства безопасности. Профиль защиты технических и аппаратно-программных средств криптографической защиты информации» (задание по безопасности) СТБ 34.101.18-2009 «Информационные технологии. Синтаксис обмена персональной информацией» с учетом использования ГОСТ 28147, СТБ П 34.101.31-2007 СТБ П 34.101.23-2008 «Информационные технологии. Защита информации. Форматы параметров криптографических алгоритмов» с учетом использования ГОСТ 28147, СТБ П 34.101.31-2007 |
| 2. Средства электронной цифровой подписи | СТБ 1176.2-99 «Информационная технология. Защита информации. Процедуры выработки и проверки электронной цифровой подписи» СТБ 1176.1-99 «Информационная технология. Защита информации. Процедура хэширования» СТБ 34.101.31-2011 «Информационные технологии. Защита информации. Криптографические алгоритмы шифрования и контроля целостности» РД РБ 07040.1202—2003 «Банковские технологии. Процедура выработки псевдослучайных данных с использованием секретного параметра» СТБ П 34.101.27-2007 «Информационные технологии. Методы и средства безопасности. Профиль защиты программных средств криптографической защиты информации» (задание по безопасности) или СТБ П 34.101.43-2009 «Информационные технологии. Методы и средства безопасности. Профиль защиты технических и аппаратно-программных средств криптографической защиты информации» (задание по безопасности) РД РБ 07040.1204—2004 «Банковские технологии. Формат карточки открытого ключа» СТБ 34.101.17-2009 «Информационные технологии. Синтаксис запроса на получение сертификата» с учетом использования СТБ 1176.1-99, СТБ 1176.2-99, СТБ П 34.101.31-2007 СТБ 34.101.18-2009 «Информационные технологии. Синтаксис обмена персональной информацией» с учетом использования СТБ 1176.1-99, СТБ 1176.2-99, СТБ П 34.101.31-2007 СТБ 34.101.19-2009 «Информационные технологии. Форматы сертификатов и списков отозванных сертификатов инфраструктуры открытых ключей» с учетом использования СТБ 1176.1-99, СТБ 1176.2-99, СТБ П 34.101.31-2007 СТБ П 34.101.23-2008 «Информационные технологии. Защита информации. Форматы параметров криптографических алгоритмов» с учетом использования СТБ 1176.1-99, СТБ 1176.2-99, СТБ П 34.101.31-2007 |
| 3. Средства управления криптографическими ключами | СТБ 34.101.17-2009 «Информационные технологии. Синтаксис запроса на получение сертификата» с учетом использования СТБ 1176.1-99, СТБ 1176.2-99, СТБ П 34.101.31-2007 СТБ 34.101.18-2009 «Информационные технологии. Синтаксис обмена персональной информацией» с учетом использования СТБ 1176.1-99, СТБ 1176.2-99, СТБ П 34.101.31-2007 СТБ 34.101.19-2009 «Информационные технологии. Форматы сертификатов и списков отозванных сертификатов инфраструктуры открытых ключей» с учетом использования СТБ 1176.1-99, СТБ 1176.2-99, СТБ П 34.101.31-2007 СТБ П 34.101.23-2008 «Информационные технологии. Защита информации. Форматы параметров криптографических алгоритмов» с учетом использования СТБ 1176.1-99, СТБ 1176.2-99, СТБ П 34.101.31-2007 СТБ П 34.101.27-2007 «Информационные технологии. Методы и средства безопасности. Профиль защиты программных средств криптографической защиты информации» (задание по безопасности) или СТБ П 34.101.43-2009 «Информационные технологии. Методы и средства безопасности. Профиль защиты технических и аппаратно-программных средств криптографической защиты информации» (задание по безопасности) |
Источник: www.oac.gov.by
