НОРМАТИВНО-ПРАВОВОЕ РЕГУЛИРОВАНИЕ ОБЕСПЕЧЕНИЯ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ В ИНФОРМАЦИОННОЙ СФЕРЕ: ИЗМЕНЕНИЯ И НАПРАВЛЕНИЯ РАЗВИТИЯ Барановский Олег Константинович Государственное предприятие «НИИ ТЗИ» Минск, Республика Беларусь Вопросы национальной безопасности в информационной сфере Основные угрозы: нарушение функционирования критически важных объектов информатизации; недостаточная эффективность информационного обеспечения государственного управления; недостаточные масштабы и уровень внедрения передовых информационно-коммуникационных технологий; снижение или потеря конкурентоспособности отечественных информационно-коммуникационных технологий, информационных ресурсов и национального контента. Приоритетным направлением является совершенствование нормативной правовой базы обеспечения информационной безопасности и завершение формирования комплексной государственной системы обеспечения информационной безопасности. Изменения базового законодательства Указ Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации» Постановление Совета Министров Республики Беларусь от 15.05.2013 № 375 «Об утверждении технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY)» Развитие нормативной правовой базы Во исполнение требований Указа №196 введен в действие ряд положений приказами Оперативно-аналитического центра при Президенте Республики Беларусь от 26 августа 2013 г. № 60 и от 30 августа 2013 г. № 62: - Положение о порядке проведения государственной экспертизы средств технической и криптографической защиты информации; - Положение о порядке технической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам; - Положение о порядке криптографической защиты информации в государственных информационных системах, информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, и на критически важных объектах информатизации; - Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам. Развитие базы ТНПА 2014 год: 34.101.1-20ХХ (ISO/IEC 15408-1:2009) Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель 34.101.2-20ХХ (ISO/IEC 15408-2:2008) Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности 34.101.3-20ХХ (ISO/IEC 15408-3:2008) Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Часть 3. Гарантийные требования безопасности 2015 год: СТБ ISO/IEC TR 19791-20ХХ Информационные технологии. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем СТБ 34.101.5-20ХХ (ISO/IEC 18045:2008) Информационные технологии и безопасность. Методология оценки безопасности информационных технологий СТБ ISO/IEC TR 15446-20ХХ Информационные технологии и безопасность. Руководство по проектированию профилей защиты и заданий по безопасности Пересмотр базы ТНПА СТБ 34.101.11-2009 Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Профиль защиты операционной системы сервера для использования в доверенной зоне корпоративной сети СТБ 34.101.13-2009 Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Профиль защиты операционной системы сервера для использования в демилитаризованной зоне корпоративной сети СТБ 34.101.14-2009 Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Профиль защиты программных средств маршрутизатора для использования в демилитаризованной зоне корпоративной сети СТБ 34.101.16-2009 Информационные технологии и безопасность. Критерии оценки безопасности информационных технологий. Профиль защиты программных средств коммутатора для использования в доверенной зоне корпоративной сети СТБ 34.101.35-2011 Информационные технологии. Методы и средства безопасности. Объекты информатизации. Профиль защиты класса Б3 СТБ 34.101.36-2011 Информационные технологии. Методы и средства безопасности. Объекты информатизации. Профиль защиты класса А2 СТБ 34.101.37-2011 Информационные технологии. Методы и средства безопасности. Профиль защиты программных средств. Системы управления сайта Уточнение требований по обеспечению безопасности КВОИ Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 17 июля 2013 г. № 47 «Об утверждении технического кодекса установившейся практики» ТКП 483-2013 (01019) Информационные технологии и безопасность. Безопасная эксплуатация и надежное функционирование критически важных объектов информатизации. Общие требования СТБ П 34.101.52 2012 Информационные технологии. Методы и средства безопасности. Критически важные объекты информатизации. Классификация СТБ П 34.101.53-2012 Информационные технологии. Методы и средства безопасности. Профиль защиты критически важных объектов информатизации класса А1-у СТБ П 34.101.54-2012 Информационные технологии. Методы и средства безопасности. Профиль защиты критически важных объектов информатизации класса А2-у СТБ П 34.101.55-2012 Информационные технологии. Методы и средства безопасности. Профиль защиты критически важных объектов информатизации класса Б1-у СТБ П 34.101.56-2012 Информационные технологии. Методы и средства безопасности. Профиль защиты критически важных объектов информатизации класса Б2-у СТБ П 34.101.57-2012 Информационные технологии. Методы и средства безопасности. Профиль защиты критически важных объектов информатизации класса В1-у СТБ П 34.101.58-2012 Информационные технологии. Методы и средства безопасности. Профиль защиты критически важных объектов информатизации класса В2-у СТБ П 34.101.59-2012 Информационные технологии и безопасность. Задание по безопасности. Методические указания по разработке Развитие базы ТНПА 2014 год: СТБ ISO/IEC 27003-20ХХ Информационные технологии. Методы обеспечения безопасности. Руководство по созданию системы менеджмента информационной безопасности СТБ ISO/IEC 27004-20ХХ Информационные технологии. Методы обеспечения безопасности. Измерения в области информационной безопасности СТБ ISO/IEC 27006-20ХХ Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, обеспечивающим аудит и сертификацию систем менеджмента информационной безопасности 2015 год: СТБ ISO/IEC 27011-20ХХ Информационные технологии. Методы обеспечения безопасности. Руководство по менеджменту информационной безопасности для организаций телекоммуникационной отрасли на основе ISO/IEC 27002 СТБ ISO/IEC 27035-20ХХ Информационные технологии. Методы обеспечения безопасности. Менеджмент инцидентов в области информационной безопасности СТБ 34.101.70-20ХХ Информационные технологии. Методы и средства безопасности. Методика оценки риска информационной безопасности в информационных системах Разработка требований к средствам защиты информации - Системы обнаружения и предотвращения утечек информации - Системы обнаружения и предотвращения вторжений - Межсетевые экраны (системы управления информационными потоками) - Системы сбора и обработки данных событий информационной безопасности - Системы поиска уязвимостей в продуктах информационных технологий и информационных системах - Системы контроля защищенности информационных систем Барановский Олег Константинович Государственное предприятие «НИИ ТЗИ» Минск, Республика Беларусь