Владелец критически важного объекта информатизации (далее – КВОИ) должен назначить подразделение и (или) должностное лицо для обеспечения безопасности. Требование к работнику, обеспечивающему безопасность КВОИ: высшее образование в области технической и (или) криптографической защиты информации либо высшее или профессионально-техническое образование и переподготовка или повышение квалификации по вопросам технической и (или) криптографической защиты информации.
Эти требования закреплены приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12 октября 2018 г. № 151 "Об утверждении Положения об обеспечении безопасности критически важных объектов информатизации" (далее – приказ № 151). Документ вступил в силу 30 октября 2018 года.
Системы безопасности КВОИ, включенных в Государственный реестр критически важных объектов информатизации до 30.10.2018, не требуется приводить в соответствие с приказом № 151.
Справочно. Критически важный объект информатизации – объект информатизации, который:
- обеспечивает функционирование экологически опасных и (или) социально значимых производств и (или) технологических процессов, нарушение штатного режима которых может привести к чрезвычайной ситуации техногенного характера;
- осуществляет функции информационной системы, нарушение (прекращение) функционирования которой может привести к значительным негативным последствиям для национальной безопасности в политической, экономической, социальной, информационной, экологической, иных сферах;
- обеспечивает предоставление значительного объема информационных услуг, частичное или полное прекращение оказания которых может привести к значительным негативным последствиям для национальной безопасности в политической, экономической, социальной, информационной, экологической, иных сферах (Указ Президента Республики Беларусь от 25.10.2011 № 486 "О некоторых мерах по обеспечению безопасности критически важных объектов информатизации").
В частности, КВОИ являются: крупные гидротехнические сооружения, нефте-, газо-, продуктопроводы, сети АЭС, пункты хранения стратегических запасов нефти и газа, вредные химические производства, транспортные узлы, аэродромы и т.п., выведение из строя которых может привести к непредсказуемым тяжелым и даже катастрофическим последствиям.
В соответствии с приказом № 151, владельцы КВОИ разрабатывают и принимают (издают) локальные нормативные правовые акты, в которых определяются задачи и функции службы безопасности (уполномоченного работника) по вопросам обеспечения безопасности КВОИ, а также устанавливается порядок:
а) взаимодействия службы безопасности (уполномоченного работника) с иными работниками владельца КВОИ по вопросам обеспечения безопасности КВОИ;
б) согласования со службой безопасности (уполномоченным работником) приема, увольнения, перевода, перемещения работников, трудовые обязанности которых предусматривают эксплуатацию КВОИ, по вопросам обеспечения безопасности КВОИ;
в) проведения инструктажей, мероприятий по информированию и выработке практических навыков действий по обеспечению безопасности КВОИ;
г) защиты сведений, содержащихся в эксплуатационной документации на КВОИ, документации на систему безопасности КВОИ, иной информации, распространение и (или) предоставление которой ограничено, от ее разглашения или несанкционированного доступа к ней со стороны третьих лиц;
д) взаимодействия владельца КВОИ с иными юридическими и физическими лицами, в том числе при заключении и исполнении договоров, по вопросам обеспечения безопасности КВОИ.
Справочно. Согласно Методическим рекомендациям по обеспечению информационной безопасности, размещенным на интернет-портале ОАЦ:
– в локальных нормативных правовых актах определяются функции и обязанности в сфере обеспечения информационной безопасности персонала, а также представителей сторонних организаций;
– проверка персонала, представителей сторонних организаций (при необходимости) проводится в соответствии с инструкциями и правилами этики;
– с персоналом, а также с представителями сторонних организаций подписывается соглашение (возможно отражение соответствующих положений в договоре) об их ответственности за нарушения в сфере обеспечения безопасности информации;
– персонал, а также представители сторонних организаций (при необходимости) проходят соответствующее обучение и переподготовку в целях получения информации о новых требованиях, правилах, процедурах в области обеспечения безопасности информации в организации;
– по окончании действия контракта (договора) все активы, находящиеся у соответствующего лица, возвращаются, а также аннулируются или уточняются права доступа к информации и средствам обработки информации.
