Predmety licencovania v oblasti ochrany informácií. Získanie rôznych typov licencií fstack. Licencia Fstack pre tzki. aký druh práce je potrebný

Rýchly rast informatizácie a nárast objemov digitálne informácie sú nútení zvýšiť úroveň bezpečnosti. To malo za následok aktívny rozvoj rôzne cesty ochranu údajov, ako aj spoločnosti ponúkajúce služby ochrany osobných údajov. Okrem toho len obmedzený počet spoločností môže vykonávať tento typ činnosti.

Povinnosť získať povolenie

Ochrana osobných a obchodné informácie Je to pomerne chúlostivé a dôležité povolanie. Je neprijateľné poskytovať takéto služby bez povolenia. Na ochranu informácií sú potrebné tieto typy opatrení:

• Vývoj, výroba a distribúcia šifrovacích nástrojov
• Práca na technickej ochrane dôverných informácií
• Detekcia elektronických prostriedkov používaných na tajné získavanie údajov
• Výroba a vývoj ochranných prostriedkov SZKI dôverné informácie)
• Údržba kryptografickými prostriedkami ochrana informácií, telekomunikácie a informačné systémy.

Výnimkou je vývoj šifrovacích nástrojov pre osobné použitie resp. Taktiež nie je potrebná žiadna licencia na údržbu informačných a iných systémov, na ktoré sa používa interné informácie konkrétnej spoločnosti.

Prečo potrebujeme licenciu na technickú (a inú) ochranu dôverných informácií, povieme nižšie.

Licencia na technickú ochranu dôverných informácií

Hlavné úlohy licencovania

Malo by byť zrejmé, že úroveň dôvernosti informácií môže byť rôzna.

• Niektorým spoločnostiam môže únik dát priniesť len morálne nepohodlie, iné v dôsledku toho stratia schopnosť fungovať.
• Nezabudnite tiež na obchodné tajomstvá výroby rôzneho tovaru. Ak budú zverejnené, je to pravdepodobné odlišný vývoj diania.

Hlavným cieľom udeľovania licencií je obmedziť nekompetentné činnosti. Žiadatelia o licenciu musia spĺňať rôzne kritériá, aby zabezpečili kvalitné služby ochrany údajov a spravodlivú údržbu.

Toto video vám povie o technológiách informačnej bezpečnosti:

Normatívne dokumenty

Vydávanie licencií sa riadi množstvom predpisov, zákonov a nariadení. Jedným z hlavných dokumentov je federálny zákon č. 99 zo 4. mája 2011 „o udeľovaní licencií na určité druhy činností“. Na činnosti ochrany informácií sa vzťahujú aj tieto uznesenia vlády Ruskej federácie:

• č. 45 z 26. januára 2006
• číslo 532 zo dňa 31.8.2006
• číslo 691 zo dňa 23.9.2002.

Oplatí sa zoznámiť sa aj s nariadením vlády Ruskej federácie č. 1418 z 24.12.1994. Všetky tieto dokumenty poskytujú podrobné zváženie postupu získania povolenia a uvádzajú podmienky jeho poskytnutia spolu so zoznamom požadovaných dokumentov.

Postup na získanie licencie od FSTEC Ruska na technickú ochranu dôverných informácií, napísanie vyhlásenia k tejto záležitosti - to všetko je popísané nižšie.

Získanie povolenia na vykonávanie činností na ochranu informácií

Aktivity v oblasti ochrany informácií si vyžadujú dodržiavanie veľkého zoznamu podmienok a systematickú prípravu. Po podaní žiadosti musí žiadateľ o licenciu počkať odborný posudok pozostávajúci zo zamestnancov FSB a FSTEC. Konkrétne zloženie odbornej komisie závisí od zvoleného druhu činnosti.

Žiadosť a miesto predloženia dokladov

Žiadosť o udelenie licencie na výkon činnosti ochrany informácií sa vypĺňa na zákonom stanovenom formulári. Vzor žiadosti poskytujú licenčné orgány. Samotné vydávanie licencií na činnosti ochrany informácií vykonávajú dve organizácie:

1. Federálna bezpečnostná služba (FSB).
2. Federálna služba pre technickú a exportnú kontrolu (FSTEC).

Väčšina žiadostí sa podáva na FSB, ktoré poskytujú najviac druhy činností. FSTEC je zodpovedný za kontrolu nad výrobou a vývojom špecializovaných prostriedkov na ochranu dôverných informácií.

Požadované podmienky licencovania (získania licencie) na technickú ochranu dôverných informácií sú popísané nižšie.

Podmienky

Hlavným problémom pri získavaní licencie sú podmienky grantu. Zoznam je pomerne široký a pri absencii akejkoľvek položky je žiadateľ zbavený práva vydať povolenie. Navyše, podmienky pre odlišné typyčinnosti sa líšia, hoci existuje všeobecný zoznam.

Musia byť splnené tieto podmienky:

• Mať aspoň 2 zamestnancov s príslušným vzdelaním alebo absolvovanými rekvalifikačnými kurzami
• Vlastné alebo prenajaté priestory s povinným technickým dodržiavaním deklarovaného druhu činnosti
• Tvoriť materiálno-technickú základňu kontrolných a meracích, skúšobných a iných požadovaný typ zariadení v závislosti od druhu činnosti
• Potvrďte, že požadovaný softvér vlastníte alebo je inak legálne dostupný
• Dostupnosť špecializovaný systém kontroly v súlade s vybraným typom činnosti a jej konkrétnym pododsekom
• legálne vlastniť technickú dokumentáciu, metodologický vývoj, ako aj ďalšie papierové a digitálne údaje potrebné na podnikanie.

Niektoré činnosti si tiež môžu vyžadovať určité prostriedky pre spracovanie informácií, certifikovaný pre bezpečnosť.

Ďalšou požiadavkou na všetky druhy činností, okrem výroby a rozvoja SZKI, je prítomnosť na pozícii vedúceho, ktorý má vysokoškolské vzdelanie v odbore „Informačná bezpečnosť“ alebo absolvoval rekvalifikačný kurz nad 500 vyučovacích hodín. .

Požadované dokumenty

Spolu s uvedenými podmienkami musíte poskytnúť nasledujúci balík dokumentov:

• Pracovné zmluvy, certifikáty a diplomy zamestnancov
• Žiadosť a doklady na zaplatenie štátnej povinnosti
• Dokumenty potvrdzujúce právnu existenciu kontrolných systémov
• Doklady o vlastníctve priestorov a softvér
• Údaje o dostupnosti technickej a inej potrebnej dokumentácie
• Dokumenty potvrdzujúce dostupnosť požadovanej materiálno-technickej základne
• Certifikáty zhody pre zariadenia na spracovanie informácií a/alebo chránené priestory.

Všetky údaje sa poskytujú spolu so základnými dokumentmi žiadateľa. Počet kusov papierových formulárov sa značne líši v závislosti od typu zvolenej činnosti, prítomnosti niekoľkých priestorov, programov a technická dokumentácia... Preto je pri zhromažďovaní balíka dokumentov potrebné objasniť prítomnosť nových regulačných právnych aktov týkajúcich sa udeľovania licencií na činnosti v oblasti ochrany informácií.

Etapy licenčných činností pre organizáciu informačnej bezpečnosti sú popísané nižšie.

Etapy

Licenčné konanie trvá veľké množstvočas. Legislatívne podmienky vydania tohto dokumentu obmedzená na 45 dní. Jeden z dôležité kroky je predbežnou fázou získania povolenia, samotná možnosť udelenia práva na činnosti ochrany informácií závisí od kvality jeho vykonania.

Prípravné fázy licencovania:

• Štúdium regulačného rámca
• Odhalenie súladu s uvedenými podmienkami
• Zhromažďovanie balíka dokumentov a vypracovanie žiadosti
• Opätovná analýza podmienok a poskytnutých dokumentov.

Pri riadne vykonanom prípravnom licenčnom období je pravdepodobnosť získania licencie veľmi vysoká. Často sú dôvodom odmietnutia práve chyby v predložených dokumentoch alebo nedodržanie potrebných podmienok.

Po predbežná fáza je potrebné predložiť doklady potrebnému licenčnému orgánu vybranému v závislosti od druhu činnosti (FSB alebo FSTEC). Ďalším bodom bude preskúmanie podkladov odbornou komisiou. Ak sa zhodujú, uskutoční sa kontrola technické možnosti a podmienky podnikania. Poslednou fázou je vydanie oficiálneho licenčného formulára.

Užitočná informácia

• Osobitná pozornosť by sa mala venovať skutočnosti, že všetci súčasní držitelia licencií podliehajú rutinným kontrolám zo strany FSB. Okrem toho je tento typ činnosti charakterizovaný spontánnymi kontrolami bez varovania. Konajú sa o právny základ za úspech maximálna kvalita služby poskytované na uchovávanie informácií.
• Z tohto dôvodu je doba platnosti licencie stanovená na minimálne 5 rokov a proces obnovy povolenia je zjednodušený. Je potrebné znovu vydať doklad potvrdzujúci povolenie. Na žiadosť držiteľa licencie sa mu vydáva nové tlačivo s predĺženou dobou platnosti. To je možné len v prípade neprítomnosti hrubých porušení - ak nejaké, licencia je odobratá.

Získanie povolenia na vykonávanie činností v oblasti ochrany údajov nie je samo osebe obzvlášť zložité. Oveľa ťažšie zložiť požadovaný balík dokumenty a správne splniť všetky požadované podmienky. Pri žiadosti o licenciu je najdôležitejšie venovať pozornosť prípravná fáza a pri jeho kvalitnej realizácii nebude ťažké získať povolenie.

Oveľa viac užitočná informácia ochrana informácií a licencovanie takýchto činností je obsiahnuté v tomto videu:

Licencovanie v oblasti ochrany informácií je činnosť zahŕňajúca prevod alebo prijatie práv na výkon práce v oblasti ochrany informácií. Politiku štátu v oblasti povoľovania niektorých druhov činností a zabezpečovania ochrany životne dôležitých záujmov jednotlivca, spoločnosti a štátu určuje nariadenie vlády SR č. Ruská federácia zo dňa 24. decembra 1994 č. 1418 "O udeľovaní licencií na niektoré druhy činností" (v znení rozhodnutí vlády RF zo dňa 5.5.2095 č. 450, zo dňa 3.6. .95 č. 1001, zo dňa 22. 4. 97 č. 462, zo dňa 1. 12. 97 č. 1513, pozri aj uznesenie zo dňa 11. 2. 2002 č. 135).

Licencia je povolenie na výkon práce v oblasti ochrany informácií. Licencia sa vydáva na konkrétny druh činnosti na tri roky, po uplynutí ktorej sa opätovne zaregistruje v súlade s postupom ustanoveným na vydanie licencie.

Licencia sa vydáva, ak spoločnosť, ktorá požiadala o licenciu, má podmienky na udelenie licencie: výrobné a skúšobné zariadenia, regulačnú a metodickú dokumentáciu a má vedeckých a inžinierskych pracovníkov.

Organizačnú štruktúru systému štátneho povoľovania podnikov v oblasti ochrany informácií tvoria:

· štátne orgány pre udeľovanie povolení;

· Licenčné centrá;

· Podniky-žiadatelia.

štátne orgány na licencovanie:

· organizovať povinné štátne licencovanie podnikov;

· vydávať štátne licencie žiadateľským podnikom;

· Dohodnúť sa na zložení odborných komisií zastúpených licenčnými centrami;

· Vykonávať kontrolu a dohľad nad úplnosťou a kvalitou prác vykonávaných držiteľmi povolení v oblasti ochrany informácií.

Licenčné centrá:

· Vytvárať odborné komisie a ich zloženie predkladať na schválenie vedúcim príslušných štátnych licenčných orgánov, ktorými sú FSTEC a FSB;

· Plánovať a vykonávať prácu na preskúmaní žiadateľských podnikov;

· Kontrolovať úplnosť a kvalitu prác vykonaných držiteľmi licencie.

Licenčné strediská pod štátnymi licenčnými orgánmi vznikajú na základe príkazov vedúcich týchto orgánov. Odborné komisie sa tvoria z radov odborníkov z priemyslu, orgánov štátnej správy, iných organizácií a inštitúcií kompetentných v príslušnej oblasti ochrany informácií. V jednej alebo viacerých oblastiach ochrany informácií sa vytvárajú odborné komisie.

Nasledujúce položky podliehajú licencovaniu zo strany FSTEC Ruska:

Certifikácia, certifikačné testovanie chránených technické prostriedky spracovanie informácií (IKT), technické a softvérové ​​nástroje ochrana, nástroje kontroly účinnosti opatrení na ochranu informácií, spracovanie softvéru, ochrana a kontrola bezpečnosti;

· Certifikácia systémov informatizácie, automatizovaných riadiacich systémov, komunikačných systémov a systémov prenosu dát, IT zariadení a vyhradených priestorov pre súlad s požiadavkami usmerňujúcich a regulačných dokumentov o informačnej bezpečnosti;

· Vývoj, výroba, predaj, inštalácia, nastavovanie, montáž, oprava, servisná údržba chránených objektov informatiky, technických prostriedkov ochrany a kontroly účinnosti opatrení na ochranu informácií, chránených softvérových nástrojov na spracovanie, ochranu a kontrolu informačnej bezpečnosti;

Vedenie špeciálnych štúdií na strane elektromagnetická radiácia a tip-off (PEMIN) TCOI;

· Dizajn predmetov v chránenom dizajne.

Licenčný orgán je zodpovedný za:

· Vypracovanie pravidiel, postupov a regulačných a metodických dokumentov o otázkach udeľovania licencií;

· Vykonávanie vedeckého a metodického riadenia licenčnej činnosti;

· Publikácia potrebné informácie o systéme udeľovania licencií;

· posudzovanie žiadostí organizácií a vojenských útvarov o vydanie preukazov spôsobilosti;

· Koordinácia vyhlásení s vojenskými útvarmi zodpovednými za príslušné oblasti ochrany informácií;

· Koordinácia zloženia odborných komisií;

· Organizácia a vedenie špeciálnych skúšok;

· rozhodovanie o vydaní preukazu;

· Vydávanie licencií;

· rozhodovanie o pozastavení, obnovení licencie alebo jej zrušení;

· Vedenie registra vydaných, pozastavených, obnovených a zrušených licencií;

· Nákup, účtovanie a uchovávanie licenčných formulárov;

· Organizácia práce certifikačných centier;

· Kontrola úplnosti a kvality prác vykonaných držiteľmi licencie.

V súlade s článkom 17 federálneho zákona zo dňa 08.08.2001 č. 128-FZ "o udeľovaní licencií na určité druhy činností" (v znení federálneho zákona z 2. júla 2005 č. 80-FZ) tieto druhy činností (v oblasť ochrany informácií) podliehajú licencovaniu:

· Činnosti na distribúciu šifrovacích (kryptografických) prostriedkov;

· Aktivity pre údržbušifrovacie (kryptografické) prostriedky;

· poskytovanie služieb v oblasti šifrovania informácií;

· Vývoj, výroba šifrovacích (kryptografických) prostriedkov, chránených pomocou šifrovacích (kryptografických) prostriedkov informačných systémov, telekomunikačných systémov;

· Aktivity na vývoj a (alebo) výrobu prostriedkov na ochranu dôverných informácií; činnosť v oblasti technickej ochrany dôverných informácií;

Činnosti na identifikáciu elektronické zariadenia, určeného na utajený príjem informácií v priestoroch a technických prostriedkoch (okrem prípadu, ak uvedenú činnosť vykonávajú pre vlastnú potrebu právnická osoba alebo individuálny podnikateľ).

V rámci posudzovaných činností boli vydané samostatné nariadenia vlády Ruskej federácie, ktoré objasňujú postup udeľovania licencií. Medzi nimi:

· Nariadenie vlády Ruskej federácie z 26. januára 2006 č. 45 "O organizácii udeľovania licencií na určité druhy činností"; Vyhláška vlády Ruskej federácie z 15. augusta 2006 č. 504 „O licenčných činnostiach na technickú ochranu dôverných informácií“;

· Nariadenie vlády Ruskej federácie z 31. augusta 2006 č. 532 "O licenčných činnostiach na vývoj a (alebo) výrobu prostriedkov na ochranu dôverných informácií";

· Nariadenie vlády Ruskej federácie z 23.09.2002 č. 691 "O schválení predpisov o udeľovaní licencií na niektoré druhy činností súvisiacich so šifrovacími (kryptografickými) prostriedkami".

V súlade s týmito dokumentmi sú držitelia povolení povinní každoročne predkladať licenčnému orgánu alebo certifikačnému centru informáciu o počte vykonaných prác pre konkrétne druhy činností uvedených v povolení. Držitelia licencie zodpovedajú za úplnosť a kvalitu vykonaných prác, zaistenie bezpečnosti štátnych tajomstiev, ktoré im boli zverené pri ich praktickej činnosti.

Technická ochrana dôverných informácií - skutočný problém v dnešnej realite. Každá organizácia tak či onak zhromažďuje informácie, ktoré by nechcela alebo jednoducho nemá právo zverejňovať. Únik takýchto údajov môže mať najvážnejšie následky.

Štát kontroluje túto dôležitú oblasť a hlavným regulačným orgánom je Federálna služba pre technickú a exportnú kontrolu (FSTEC).

Spoločnosti, ktoré vykonávajú alebo plánujú vykonávať činnosti na ochranu dôverných informácií, musia získať licenciu od FSTEC (federálny zákon č. 99 „O udeľovaní licencií na určité typy činností“, vládne nariadenie z 21. novembra 2011 č. 957 „O organizácii o udeľovaní licencií na určité druhy činností“). Existuje aj licencia FSB, ktorú vyžadujú firmy zaoberajúce sa štátnym tajomstvom.

Typy licencií FSTEC

Ak vezmeme do úvahy iba činnosti v jurisdikcii FSTEC, potom existujú dva hlavné typy licencií:

Po prvé: licencia FSTEC na technickú ochranu dôverných informácií (TZKI)... Takáto licencia je potrebná pre spoločnosti pracujúce priamo s informáciami. Používajú hotový softvér, inštalujú ho, testujú zariadenia, komunikácie a špeciálne miestnosti na ukladanie informácií atď. Podrobný zoznam prác, ktoré vyžadujú získanie licencie na TZKI, budú uvedené nižšie.

Po druhé: licencia FSTECna vývoj a výrobu prostriedkov na ochranu dôverných informácií (SZKI)... Organizácie, ktoré získajú túto licenciu, samy vyvíjajú a vyrábajú nástroje informačnej bezpečnosti. To zahŕňa špeciálny softvér a vybavenie určené na spracovanie, uchovávanie a prenos chránených informácií, ako aj kontrolu bezpečnosti. Vydáva sa všetok softvér a hardvér, ktoré sa vyrábajú a používajú na tieto účely FSTEC certifikáty... V pravidelných intervaloch prechádzajú ochranné prostriedky recertifikáciou.

Čo sú dôverné informácie?

V právnych predpisoch neexistuje jasná definícia tohto pojmu: môže ísť o obchodné tajomstvo, ako aj osobné údaje alebo akékoľvek iné informácie obmedzeného použitia.

Existuje aj pojem „prevádzkovateľ osobných údajov“. Je to každá organizácia alebo jednotlivec, ktorý organizuje a (alebo) vykonáva spracovanie osobných údajov. Prevádzkovateľ PD je podľa zákona (spolkový zákon č. 152 „O osobných údajoch“) povinný zabezpečiť ich nedotknuteľnosť, to znamená prijať opatrenia na technickú ochranu informácií, ktoré sú predmetom licencovania.

V praxi to nie vždy znamená, že potrebuje získať licenciu FSTEC. Prevádzkovateľ môže na tento účel zamestnať tretiu licencovanú organizáciu, alebo v jej zložení poveriť štrukturálnu jednotku alebo úradníka, ktorý sa bude problematikou TZKI zaoberať. V tomto prípade je aj tento oddiel alebo funkcionár povinný mať licenciu FSTEC na TZKI.

Licencia FSTEK pre TZKI. Aký druh práce je potrebný?

Ktoré organizácie potrebujú vydať licenciu FSTEC pre TZKI? Na jej zistenie je potrebné porovnať práce alebo služby, ktoré táto organizácia plánuje poskytovať s tými, ktoré uvádza nariadenie vlády. Medzi takéto diela patria:

• kontrolu nad ochranou dôverných informácií pred únikom zo strany technické kanály v:
  prostriedky a systémy informatizácie;
  technické prostriedky (systémy), ktoré nespracúvajú dôverné informácie, ale nachádzajú sa v priestoroch, kde sa spracúvajú;
  priestory so zariadeniami (systémami), ktoré sa majú chrániť;
  priestory určené na vedenie dôverných rokovaní (chránené priestory);
• kontrola ochrany dôverných informácií pred neoprávneným prístupom a ich modifikácia v prostriedkoch a systémoch informatizácie;
• certifikačné testy na zhodu s požiadavkami informačnej bezpečnosti produktov používaných na ochranu dôverných informácií (technické prostriedky ochrany informácií, chránené technické prostriedky spracovania informácií, technické prostriedky monitorovania účinnosti opatrení na ochranu informácií, softvér (softvér a hardvér) prostriedky informačnej bezpečnosti , chránené softvérové ​​(softvérovo -technické) prostriedky spracovania informácií, softvérové ​​(softvérové ​​a hardvérové) prostriedky kontroly informačnej bezpečnosti);
• atestačné testy a osvedčenie o súlade s požiadavkami na ochranu informácií:
  
  chránené priestory;
• chránený dizajn:
  prostriedky a systémy informatizácie;
  priestory s prostriedkami (systémami) informatizácie, ktoré sa majú chrániť;
  chránené priestory;
• inštalácia, montáž, testovanie, oprava zariadení informačnej bezpečnosti

Získanie licencie od FSTEC Ruska na technickú ochranu informácií

FSTEC Ruska odporúča získať licenciu na technickú ochranu informácií samostatne, aby sa predišlo neoprávneným nákladom a neprimeraným zárukám. Ako tento postup vyzerá? Na získanie licencie na ochranu informácií musíte splniť dve podmienky:

Pozbierajte všetky Požadované dokumenty ... Zoznam dokumentov je celkom pôsobivý a možno ho nájsť na webovej stránke FSTEC Ruska fstec.ru. Okrem toho musíte vyplniť žiadosť a zaplatiť štátny poplatok vo výške 7 500 rubľov. Po predložení dokumentov sa do piatich pracovných dní skontroluje úplnosť informácií. Potom sa vykoná kontrola, aby sa zistilo, či žiadateľ spĺňa požiadavky na licenciu.

Spĺňajú požiadavky... Zoznam požiadaviek je tiež na oficiálnej webovej stránke FSTEC Ruska. Samozrejme, musíte sa o to postarať vopred pred odoslaním dokumentov.

Požiadavky na získanie licencie FSTEC

Stručne zhrňujúc tieto požiadavky, zmenšujú sa na nasledovné:

• Kvalifikovaní zamestnanci. Zamestnanci musia byť zamestnanci s vysokoškolským vzdelaním v špecializačnom odbore alebo po špeciálnej rekvalifikácii.
• Špeciálne priestory na vykonávanie činností. Priestory musia byť v súlade a musia byť v zákonnom vlastníctve žiadateľa.
• Certifikované vybavenie.
• Automatizované systémy na spracovanie informácií s certifikátmi.
• Legálny softvér.
• Dostupnosť normatívnych právnych aktov a metodických dokumentov v súlade so zoznamom FSTEC.

Po splnení všetkých požiadaviek a v poriadku dokumentov sa vydá licencia. Doba platnosti licencie pre TZKI nie je obmedzená, ale z času na čas FSTEC vykoná plánované kontroly. Preto musí spoločnosť neustále monitorovať, či sú splnené všetky požiadavky FSTEC.

Odoslanie dobrej práce do databázy znalostí je jednoduché. Použite nižšie uvedený formulár

Dobrá práca na stránku ">

Študenti, postgraduálni študenti, mladí vedci, ktorí pri štúdiu a práci využívajú vedomostnú základňu, vám budú veľmi vďační.

Uverejnené dňa http://www.allbest.ru/

Ministerstvo dopravy Ruskej federácie

Federálna agentúra pre železničnú dopravu Federálna štátna rozpočtová vzdelávacia inštitúcia vyššieho odborného vzdelávania

„Ďaleký východ Štátna univerzita spôsoby komunikácie"

Katedra občianskeho, obchodného a dopravného práva

Disciplína: Právna podpora informačná bezpečnosť

Téma: Licencovanie a certifikácia v oblasti informačnej bezpečnosti

Ukončená študentka (tka)

Nepomniachtchi Natalia Evgenievna

Kontroloval: učiteľ katedry:

Zheleznyakov Anatolij Michajlovič.

Chabarovsk

Úvod

1. Licencovanie v oblasti ochrany informácií

1.1 Licenčný orgán - FSTEC Ruska

1.2 Licenčný orgán – FSB Ruska

2. Certifikácia v oblasti informačnej bezpečnosti

2.1 Organizačná štruktúra certifikačných systémov

2.2 Postup certifikácie

Záver

Bibliografia

Úvod

Jedným z problémov v oblasti ochrany informácií v Rusku je nedostatok oficiálnych dokumentov s podrobné odporúčania o budovaní bezpečných informačných systémov, podobných tým, ktoré vyvinul napríklad American Institute of Standard Technologies (USA) a britský štandard. Hoci v Spojenom kráľovstve neexistujú žiadne predpisy, ktoré by vyžadovali súlad s vládnymi normami, približne 60 % firiem a organizácií v Spojenom kráľovstve dobrovoľne používa vyvinutú normu a zvyšok má v úmysle implementovať jej odporúčania v blízkej budúcnosti.

Licencovanie a certifikácia informačnej bezpečnosti môže tento problém zmierniť. Pre používateľa je potrebné vytvoriť záruky, že ním používané nástroje informačnej bezpečnosti sú schopné poskytnúť požadovanú úroveň ochrany. Práve licencovanie môže pomôcť zabezpečiť, že problémom ochrany informácií sa budú zaoberať len vysokokvalifikovaní špecialisti v tejto oblasti a produkty, ktoré vytvoria, budú na zodpovedajúcej úrovni a budú môcť prejsť certifikáciou.

Bez certifikácie nie je možné posúdiť, či konkrétny výrobok obsahuje potenciálne škodlivé nezdokumentované schopnosti, ktorých prítomnosť je charakteristická najmä pre väčšinu zahraničných výrobkov schopných určitý moment viesť k poruchám systému a dokonca k nezvratným následkom. Typický príklad takéhoto nezdokumentované príležitosti sa Ericsson zaviazal pri vývoji telefónnych ústrední, na základe ktorej Ministerstvo železníc Ruskej federácie buduje svoju telefónna sieť, schopnosť zablokovať svoju prácu pri prijatí hovoru od určitého telefónne číslo, ktorú firma odmieta pomenovať. A tento príklad nie je jediný.

Proces certifikácie softvérového produktu trvá približne rovnako dlho ako jeho vývoj a bez zdrojových kódov programov s komentármi je prakticky nemožný. Mnohé zahraničné spoločnosti zároveň nechcú poskytnúť svoj zdrojový kód softvérové ​​produkty do ruských certifikačných centier. Napríklad, napriek zásadnému súhlasu Microsoftu s certifikáciou Windows NT v Rusku, v ktorom už bolo identifikovaných viac ako 50 bezpečnostných chýb, tento problém sa už dlhé mesiace nedokázal rozbehnúť kvôli nedostatku jeho zdrojového kódu.

Ťažkosti s certifikáciou vedú k tomu, že tie najjednoduchšie získajú certifikát rýchlejšie ako ostatné spomedzi produktov rovnakej triedy, vďaka čomu sa zdajú byť pre používateľa spoľahlivejšie. Dlhé certifikačné obdobia vedú k tomu, že developer má čas uviesť na trh Nová verzia váš produkt a proces sa stane nekonečným.

Certifikácia technických prostriedkov ochrany informácií je ťažko realizovateľná bez vhodných štandardov, ktorých vytvorenie v Rusku bráni v neposlednom rade nedostatok finančných prostriedkov. Tento problém je vyriešený, ak sa o marketing zaujíma viacero firiem a viacero organizácií má záujem o využitie vhodných technických prostriedkov. Napríklad ovocie spoločného úsilia podobné organizácie, firmám a FSTEC (predtým Štátna technická komisia (STC)) bol vypracovaný Smerný technický materiál Štátneho colného výboru Ruskej federácie "Počítačové zariadenia. Firewally. Ochrana pred neoprávneným prístupom k informáciám. Ukazovatele bezpečnosti proti neoprávnenému prístupu k informáciám." Umožnil klasifikovať nástroje, ktoré sú schopné do určitej miery chrániť podnikové siete pred vonkajšími prienikmi.

Dokument predpokladá existenciu niekoľkých tried firewallov: od najjednoduchších, ktoré umožňujú iba kontrolu nad informačnými tokmi, až po tie najzložitejšie, ktoré vykonávajú úplné prekódovanie prichádzajúcich informácií, plne chránia firemná sieť od vonkajších vplyvov. Už dnes je certifikácia zhody Technické špecifikácie vyvinuté v súlade s Návodom na technický materiál, ktorý je povolený platnými zákonmi, prešli takýmito firewally ako Sun Screen, SKIPbridge a Pandora. Aj s ich certifikáciou však nastal boj.

1. Licencovanie v oblasti ochrany informácií

1.1 Licenčný orgán - FSTEC Ruska

Licenčné požiadavky na žiadateľa o licenciu na vykonávanie činností na vývoj a výrobu SZKI (ďalej len licencia) sú:

1. prítomnosť aspoň dvoch odborníkov s vysokoškolským vzdelaním v štáte žiadateľa o licenciu odborné vzdelanie v oblasti technickej ochrany informácií alebo vyššieho odborného alebo stredného odborného (technického) vzdelania a tých, ktorí prešli rekvalifikáciou alebo zdokonaľovacím školením na vývoj a (alebo) výrobu systémov informačnej bezpečnosti; špecialista na záruku ochrany používateľa

2. dostupnosť priestorov na vykonávanie licencovaného druhu činnosti, ktoré spĺňajú požiadavky technickej a technologickej dokumentácie, národných noriem a metodických dokumentov v OZI a patria žiadateľovi o licenciu na základe vlastníctva alebo na inom právnom základe;

3. prítomnosť na vlastníckych právach alebo na inom právnom základe potrebnom na vykonávanie licencovaného druhu činnosti kontrolných a meracích zariadení (prešlo v súlade s právnymi predpismi Ruskej federácie metrologické overovanie (kalibrácia) a označovanie), výroba a testovacie zariadenia;

4.dostupnosť programov určených na vykonávanie licencovaného druhu činnosti (vrátane nástrojov na vývoj softvéru pre SZKI) pre elektronické počítače a databázy, ktoré vlastní žiadateľ o licenciu na základe vlastníctva alebo na inom právnom základe;

5. existencia licencií patriacich žiadateľovi na základe vlastníctva alebo iného právneho základu, technickej a technologickej dokumentácie, dokumentácie obsahujúcej národné normy a metodických dokumentov potrebných na vykonávanie licencovaného druhu činnosti v súlade so zoznamom schválené FSTEC Ruska;

6.dostupnosť systému riadenia výroby vrátane pravidiel a postupov kontroly a hodnotenia systému pre rozvoj SZKI, účtovanie zmien vykonaných v konštrukcii a projektová dokumentácia pre produkty vo vývoji

7.dostupnosť systému riadenia výroby vrátane pravidiel a postupov kontroly a hodnotenia systému výroby SZKI, posudzovania kvality výrobkov a nemennosti stanovených parametrov, účtovania zmien vykonaných v technickej a konštrukčnej dokumentácii pre vyrábané produkty, účtovníctvo hotové výrobky Kiyaev V., Granichin O. // Bezpečnosť informačných systémov // Národná otvorená univerzita "INTUIT" * 2016 // s. 105-106

1.2 Licenčný orgán - FSB Ruska

Licenčné požiadavky na žiadateľa o licenciu sú:

1Dostupnosť osôb v štáte žiadateľa o licenciu na hlavné zamestnanie podľa personálnej tabuľky týchto kvalifikovaných pracovníkov:

2. vedúci zamestnanec a (alebo) osoba oprávnená riadiť prácu na koncesovanom druhu činnosti, ktorá má vyššie odborné vzdelanie v oblasti informačnej bezpečnosti podľa „Celoruského klasifikátora odborností“ a (alebo) preškolená v r. jedna zo špecialít tohto smeru (normatívna doba je viac ako 500 vyučovacích hodín), ako aj tí, ktorí majú najmenej 5 rokov praxe v licencovanom type činnosti;

3.Inžinieri a technickí pracovníci (najmenej dve osoby), ktorí majú vyššie odborné vzdelanie v oblasti informačnej bezpečnosti podľa "Celoruského klasifikátora odborností" a (alebo) prešli rekvalifikáciou v tejto odbornosti (štandardná doba je viac ako 100 vyučovacích hodín);

4. prítomnosť priestorov na vykonávanie licencovaného druhu činnosti, ktoré spĺňajú požiadavky technickej a technologickej dokumentácie, národných noriem a metodických dokumentov v oblasti RFI a patria žiadateľovi o licenciu na základe vlastníctva alebo na základe iných právnych predpisov. základ;

5. či má žiadateľ licenciu na vlastnícke právo alebo na inom právnom základe, kontrolné a meracie zariadenia (prešlo v súlade s právnymi predpismi Ruskej federácie metrologické overovanie (kalibrácia) a označovanie), výrobné, skúšobné zariadenia a iné predmety potrebné na vykonávanie licencovaného druhu činnosti;

6.dostupnosť programov určených na vykonávanie licencovaného druhu činnosti (vrátane nástrojov na vývoj softvéru pre SZKI) pre elektronické počítače a databázy, ktoré vlastní žiadateľ o licenciu na základe vlastníctva alebo na inom právnom základe;

7. dostupnosť zariadení na spracovanie informácií certifikovaných v súlade s požiadavkami informačnej bezpečnosti používaných na vývoj a výrobu SZKI v súlade s požiadavkami na ochranu informácií;

8.dostupnosť systému riadenia výroby vrátane pravidiel a postupov kontroly a hodnotenia systému rozvoja SZKI, účtovania zmien vykonaných v projektovej a konštrukčnej dokumentácii vyvíjaných výrobkov

9.dostupnosť systému riadenia výroby vrátane pravidiel a postupov kontroly a hodnotenia systému výroby SZKI, posudzovania kvality výrobkov a nemennosti stanovených parametrov, s prihliadnutím na zmeny vykonané v technickej a konštrukčnej dokumentácii na r. vyrobené výrobky, účtovanie hotových výrobkov Snytikov AA Licencovanie a certifikácia v oblasti informačnej bezpečnosti.-M: Helios ARV, 2012 // s. 223-224

2. Certifikácia informačnej bezpečnosti

2.1 Organizačná štruktúra certifikačného systému

Organizačnú štruktúru certifikačného systému tvoria:

1. Štátna technická komisia Ruska (federálny orgán pre certifikáciu prostriedkov informačnej bezpečnosti);

2. ústredný orgán certifikačného systému pre prostriedky informačnej bezpečnosti;

3. orgány pre certifikáciu prostriedkov informačnej bezpečnosti;

4. testovacie centrá (laboratóriá);

5. Žiadatelia (vývojári, výrobcovia, dodávatelia, spotrebitelia produktov informačnej bezpečnosti).

2 Štátna technická komisia Ruska v rámci svojej pôsobnosti vykonáva tieto funkcie:

1.Vytvára systém certifikácie prostriedkov informačnej bezpečnosti a stanovuje pravidlá certifikácie konkrétnych druhov prostriedkov informačnej bezpečnosti v tomto systéme;

2. organizuje fungovanie certifikačného systému pre prostriedky informačnej bezpečnosti;

3.určuje zoznam nástrojov informačnej bezpečnosti podliehajúcich povinnej certifikácii v tomto systéme;

4. stanovuje pravidlá pre akreditáciu a vydávanie licencií na vykonávanie certifikačných prác;

5. organizuje a financuje vypracovanie regulačných a metodických dokumentov pre certifikačný systém prostriedkov informačnej bezpečnosti;

6. určuje ústredný orgán certifikačného systému pre prostriedky informačnej bezpečnosti (ak je to potrebné) alebo vykonáva funkcie tohto orgánu;

7.schvaľuje predpisov o informačnej bezpečnosti, na dodržiavanie ktorého sa vykonáva certifikácia prostriedkov informačnej bezpečnosti v systéme a metodické dokumenty na vykonávanie certifikačných skúšok;

8. akreditovať certifikačné orgány a testovacie strediská (laboratóriá), vydávať im licencie na oprávnenie vykonávať určité druhy prác;

9.vedie Štátny registerúčastníci a predmety certifikácie;

10. vykonáva štátnu kontrolu a dozor a ustanovuje postup inšpekcie kontroly dodržiavania certifikačných pravidiel a certifikovaných prostriedkov informačnej bezpečnosti;

11. zvažuje odvolania týkajúce sa otázok certifikácie;

12. predloží certifikačný systém a značku zhody na štátnu registráciu na Štátnom štandarde Ruska;

13. organizuje pravidelné zverejňovanie informácií o certifikácii;

14. spolupracuje s príslušnými autorizovanými orgánmi iných krajín a medzinárodnými organizáciami v otázkach certifikácie, rozhoduje o uznávaní medzinárodných a zahraničných certifikátov;

15. organizuje školenia a certifikácie odborníkov – audítorov;

16. vydáva osvedčenia a licencie na používanie značky zhody;

17. pozastaví alebo zruší vydané certifikáty.

2.2 Postup certifikácie

Proces certifikácie zahŕňa nasledujúce kroky:

podanie a posúdenie žiadosti o certifikáciu prostriedkov informačnej bezpečnosti; testovanie certifikovaných nástrojov informačnej bezpečnosti a certifikácia ich produkcie;

preskúmanie výsledkov skúšok, vyhotovenie, registrácia a vydanie certifikátu a licencie na právo používať značku zhody;

vykonávanie štátnej kontroly a dozoru, inšpekčnej kontroly nad dodržiavaním pravidiel povinnej certifikácie a nad certifikovanými prostriedkami ochrany informácií.

informovanie o výsledkoch certifikácie prostriedkov informačnej bezpečnosti;

posudzovanie odvolaní.

Predloženie a posúdenie žiadosti o certifikáciu produktov informačnej bezpečnosti.

Na získanie certifikátu žiadateľ zašle žiadosť (príloha 1) Štátnej technickej komisii Ruska na testovanie s uvedením certifikačnej schémy, noriem a iných regulačných dokumentov na splnenie požiadaviek, ktorých certifikácia sa musí vykonať.

Štátna technická komisia Ruska do jedného mesiaca od prijatia žiadosti zašle žiadateľovi do certifikačného orgánu a skúšobného centra (laboratória) určeného na certifikáciu rozhodnutie o vykonaní certifikácie (príloha 2). Na žiadosť žiadateľa je možné zmeniť certifikačný orgán a testovacie centrum (laboratórium).

Žiadateľ je povinný po obdržaní rozhodnutia predložiť certifikačnému orgánu a testovaciemu centru (laboratóriu) prostriedky informačnej bezpečnosti v súlade s TU pre tento nástroj, ako aj súbor technickej a prevádzkovej dokumentácie, v súlade s predpismi č. dokumenty pre ESKD, ESPD pre certifikovaný nástroj informačnej bezpečnosti.

Testovanie certifikovaných nástrojov informačnej bezpečnosti v testovacích centrách (laboratóriách).

Skúšky certifikovaných nástrojov informačnej bezpečnosti sa vykonávajú na vzorkách, ktorých prevedenie, zloženie a technológia výroby musia byť rovnaké ako u vzoriek dodaných spotrebiteľovi, objednávateľovi podľa programov a skúšobných metód dohodnutých so žiadateľom a schválených certifikačný orgán. Technická a prevádzková dokumentácia pre nástroje sériovej informačnej bezpečnosti musí mať písmeno nie nižšie ako "O1" (podľa ESKD).

Počet vzoriek, postup ich výberu a identifikácie musí zodpovedať požiadavkám regulačných a metodických dokumentov pre daný pohľad prostriedky informačnej bezpečnosti.

Ak v čase certifikácie neexistujú testovacie centrá (laboratóriá), certifikačný orgán určí možnosť, miesto a podmienky testovania, pričom zabezpečí objektivitu ich výsledkov.

Načasovanie testov je stanovené dohodou medzi žiadateľom a testovacím centrom (laboratóriom).

Na žiadosť žiadateľa by jeho zástupcovia mali dostať možnosť oboznámiť sa s podmienkami uchovávania a testovania vzoriek prostriedkov informačnej bezpečnosti v testovacom stredisku (laboratóriu). Kiyaev V., Granichin O. // Bezpečnosť informačných systémov // Národná otvorená univerzita "INTUIT" * 2016 // s. 105-106

Výsledky skúšok sú zdokumentované v protokoloch a záveroch, ktoré skúšobné stredisko (laboratórium) zasiela certifikačnému orgánu av kópii žiadateľovi.

Pri zmenách konštrukcie (zloženia) prostriedkov informačnej bezpečnosti alebo technológie ich výroby, ktoré môžu ovplyvniť vlastnosti prostriedkov informačnej bezpečnosti, žiadateľ (vývojár, výrobca, dodávateľ) túto skutočnosť oznámi certifikačnému orgánu. Ten rozhodne o potrebe nových testov týchto nástrojov informačnej bezpečnosti.

Certifikácia importovaných nástrojov informačnej bezpečnosti sa vykonáva podľa rovnakých pravidiel ako domáce.

Záver

Ide teda o postup potvrdenia zhody, ktorým organizácia nezávislá od výrobcu (predávajúci) a spotrebiteľa (kupujúceho) osvedčuje písanieže výrobky spĺňajú stanovené požiadavky. Ak hovoríme o certifikácii vo vzťahu k prostriedkom informačnej bezpečnosti, tak je to činnosť na potvrdenie ich súladu s požiadavkami technické predpisy, národné normy alebo iné normatívne dokumenty o ochrane informácií.

Samotný certifikačný systém predstavuje FSTEC Ruska, ktorý je podriadený akreditovaným certifikačným orgánom pre prostriedky informačnej bezpečnosti a skúšobným laboratóriám.

Celý certifikačný systém zabezpečuje predovšetkým dosiahnutie národnej bezpečnosti v oblasti informatizácie. Rovnako dôležité je formovanie a realizácia jednotnej vedeckej, technickej a priemyselnej politiky v oblasti informatizácie. Rovnako ako pomoc pri vytváraní trhu bezpečných informačných technológií a prostriedkov ich podpory, regulácia a kontrola vývoja, ako aj následná výroba prostriedkov informačnej bezpečnosti, pomoc spotrebiteľom pri kompetentnom výbere prostriedkov informačnej bezpečnosti, spotrebiteľ ochrana pred nepoctivosťou dodávateľa (predajca, výrobca), potvrdenie ukazovateľov kvality produktov.

Licencovanie - činnosti súvisiace s udeľovaním licencií, opätovné vydávanie dokladov potvrdzujúcich dostupnosť licencií, pozastavenie a predĺženie platnosti licencií, zrušenie licencií a kontrola licenčných orgánov nad dodržiavaním zo strany držiteľov licencií pri vykonávaní licencovaných činností príslušných licencií. požiadavky a podmienky.

Licencia - osobitné povolenie na vykonávanie špecifického druhu činnosti za povinného plnenia licenčných požiadaviek a podmienok, ktoré vydáva licenčný orgán právnickej osobe alebo fyzickej osobe, ktorá je podnikateľom.

Licenčnú činnosť v oblasti informačnej bezpečnosti vykonávajú FSB a FSTEC Ruska. Zvážte licencované činnosti v oblasti ochrany dôverných informácií.

FSB Ruska:

1. Vývoj a (alebo) výroba prostriedkov na ochranu dôverných informácií (v kompetencii FSB)

2. Vývoj, výroba, predaj a kúpa za účelom predaja špeciálnych technických prostriedkov určených na utajené získavanie informácií, individuálnych podnikateľov a právnických osôb podnikajúcich v podnikaní

3. Činnosť na identifikáciu elektronických zariadení určených na utajený príjem informácií v priestoroch a technických prostriedkoch (okrem prípadu, keď je určená činnosť vykonávaná pre vlastnú potrebu právnickej osoby alebo fyzického podnikateľa)

4.Činnosti na distribúciu šifrovacích (kryptografických) prostriedkov

5. Činnosti údržby šifrovacích (kryptografických) zariadení

6.Poskytovanie služieb v oblasti šifrovania informácií

7. Vývoj, výroba šifrovacích (kryptografických) prostriedkov, chránených pomocou šifrovacích (kryptografických) prostriedkov informačných systémov, telekomunikačných systémov.

Bibliografia

1 . V. Kijajev, O. Granichin // Bezpečnosť informačných systémov // Národná otvorená univerzita "INTUIT" * rok 2016 // s. 105-106

2. Snytikov A.A. Licencovanie a certifikácia v oblasti informačnej bezpečnosti.-M: Helios ARV, 2012 // s. 223-224

3. Systém certifikácie prostriedkov kryptografickej ochrany informácií: č.ROSS RU.0001.030001 zo dňa 15.11.2012.

4.Bumazhkov A. Kirina A. Licencovanie a certifikácia v oblasti informačnej bezpečnosti

5. Pojmy a definície v oblasti informačnej bezpečnosti Moskva, 2011

Uverejnené na Allbest.ru

...

Podobné dokumenty

Základné princípy, ktorá by mala zabezpečiť informačnú bezpečnosť, jej regulačný rámec. Štátne orgány Ruskej federácie, ktoré kontrolujú činnosť v oblasti ochrany informácií, regulačné dokumenty v tejto oblasti. Metódy ochrany informácií.

abstrakt pridaný 24.09.2014


Prostriedky a metódy riešenia rôzne úlohy chrániť informácie, zabrániť úniku, zaistiť bezpečnosť chránených informácií. Technická (hardvérová), softvérová, organizačná, zmiešaná hardvérová a softvérová informačná bezpečnosť.

abstrakt, pridaný 22.05.2010


Právna a regulačná podpora informačnej bezpečnosti v Ruskej federácii. Právny režim informácií. Orgány zabezpečujúce informačnú bezpečnosť Ruskej federácie. Služby, ktoré organizujú bezpečnosť informácií na podnikovej úrovni. Štandardy informačnej bezpečnosti.

prezentácia pridaná 19.01.2014


Hlavné metódy neoprávneného prístupu k informáciám v počítačové systémy a ochranu pred ním. Medzinárodné a domáce organizačné, právne a regulačné akty na zabezpečenie informačnej bezpečnosti procesov spracovania informácií.

abstrakt pridaný dňa 04.09.2015


Informácie ako podstatná časť moderný komunikačný systém. Právna úprava v oblasti informačnej bezpečnosti. Právne a regulačné dokumenty upravujúce ochranu informácií. Organizačné a právne formy ochrany štátneho tajomstva.

test, pridané 11.03.2009


Odporúčania pre rozvoj malého podnikania. Ochrana vlastníckych práv, rozvoj trhových inštitúcií. Dane a ich správa. Licenčný a autorizačný systém. Kontroly, pokuty a penále. Prístup k informáciám a otvorenosť štátu.

abstrakt, pridaný 31.05.2009


Ciele vykonávania povoľovania v oblasti ochrany životného prostredia a využívania prírodných zdrojov. Zoznam druhov licencií – dokumenty oprávňujúce používať jeden typ prírodný zdroj na pevnom mieste a za určitých podmienok.

test, pridaný 19.12.2012


Licencovanie ako civilná inštitúcia. Vládny program privatizácia štátnych a komunálnych podnikov v Rusku. Funkcie federálna služba o dozore v oblasti dopravy. Živnostenské licencovanie.

Pojem informácie, informačné zdroje, ich miesto v modernom práve. Známky informácií s obmedzeným prístupom. Právny režim ochrany tvoriacej štátne, služobné, služobné tajomstvo; zabezpečenie nedostupnosti pre tretie strany.

abstrakt pridaný dňa 13.12.2013


Licencia ako forma štátna regulácia... Postup pri udeľovaní licencií na činnosť bánk a nebankových úverových a finančných organizácií. Udeľovanie licencií na činnosti pre projektovanie a výstavbu budov a inžinierske prieskumy.

Licencovanie činností na technickú ochranu dôverných informácií

Za posledné roky Podzákonný rámec v oblasti informačnej bezpečnosti vytvoril nákladné, neprehľadné, protichodné mechanizmy, ktoré nezohľadňujú ani osobitosti spracovania dôverných informácií v rôznych oblastiach činnosti, ani schopnosť prevádzkovateľov dodržiavať stanovené požiadavky. Okrem toho požiadavky na prevádzkovateľov informačných systémov spracúvajúcich dôverné informácie vrátane osobných údajov z FSTEC Ruska zahŕňajú taký mechanizmus štátnej regulácie, ako je udeľovanie licencií na činnosti na technickú ochranu dôverných informácií, na implementáciu ktorých väčšina prevádzkovateľov vykonáva nemajú dostatočné materiálne a pracovné zdroje. Týka sa to najmä rozpočtových organizácií v oblasti školstva, zdravotníctva, bývania a komunálnych služieb. Právne problémy vznikli v dôsledku absencie zákonov o ochrane dôverných informácií vo federálnej legislatíve, napríklad úradné tajomstvo, služobné tajomstvo, nejednoznačnosť ustanovení, ako aj opakované zmeny a doplnky federálneho zákona č. 152 „o osobných údajoch “, iné regulačné právne akty... Federálne zákony zároveň vyžadujú ďalšie spresnenie a spresnenie vyhláškami vlády Ruskej federácie a metodickými dokumentmi FSTEC a FSB Ruska.

Prijatie uznesenia vlády Ruskej federácie č. 79 z 3. februára 2012 „O udeľovaní licencií na technickú ochranu dôverných informácií“ so schválením „Nariadenia o udeľovaní licencií na technickú ochranu dôverných informácií“ (ďalej len - vyhláška) a zrušenie predtým právoplatného uznesenia z 15. augusta 2006. č. znova vyvoláva otázku, čo je nové v uvedenom nariadení a je potrebná licencia od FSTEC z Ruska, ak organizácia chráni dôverné informácie „pre svoje potreby“ a neposkytuje služby za peniaze?

V súlade s odsekom 1 nariadenie určuje postup udeľovania licencií na činnosti technickej ochrany dôverných informácií (neobsahujúcich informácie predstavujúce štátne tajomstvo, ale chránené v súlade s právnymi predpismi Ruskej federácie), ktoré vykonávajú právnické osoby a fyzické osoby. podnikateľov.

A hneď vyvstáva otázka s pojmom „dôverné informácie“, ktorý je uvedený v predpisoch a používa sa v dokumentoch FSTEC Ruska, ale chýba vo federálnej legislatíve. Federálny zákon č. 149 zo dňa 27.07. 2006" O informáciách, informačné technológie a o ochrane informácií „v odseku 7 čl. 2 uvádza len definíciu dôvernosti informácií, ako povinnú požiadavku na osobu, ktorá má prístup k určitým informáciám, aby tieto informácie neprenášala tretím osobám bez súhlasu ich vlastníka. Dôvernosť v preklade z latinčiny znamená „dôvera“ (to znamená, že prenosom takýchto informácií dúfame v ich bezpečnosť a nešírenie, pretože ich zverejnenie môže stranám spôsobiť určitú škodu). Všimnite si, že nejednoznačnosť určitých pojmov, ako aj niekedy neprimerané zmeny v definíciách a koncepciách informačnej legislatívy neprispievajú k zlepšeniu právna úprava v informačnej sfére... FSTEC Ruska zároveň naďalej používa termín „dôverné informácie“, od ktorého zákonodarcovia už upustili.

Podľa právnych predpisov Ruskej federácie by povinné znaky informácií s obmedzeným prístupom mali byť:

• informácie majú pre vlastníka skutočnú alebo potenciálnu hodnotu, pretože nie sú tretím stranám známe. Takýmito osobami môžu byť štátne, právnické resp jednotlivcov;
• neexistuje slobodný prístup k informáciám na právnom základe. Možnosť uchovávať ich neznáme pre tretie strany stanovuje federálny zákon;
• vlastník informácií prijíma opatrenia na ich ochranu.

Dňa 6. marca 1997 prezident Ruskej federácie vydal dekrét č.188, ktorým schválil „Zoznam dôverných informácií“, podľa ktorého boli tieto informácie klasifikované ako dôverné:

• o skutočnostiach, udalostiach a okolnostiach súkromia občan umožňujúci identifikáciu jeho totožnosti (osobných údajov), s výnimkou informácií, ktoré sú predmetom šírenia v médiách v prípadoch ustanovených federálnymi zákonmi;
• zakladajúce tajomstvo vyšetrovania a súdneho konania;
• prístup ku ktorým je verejnými orgánmi obmedzený v súlade s Občianskym zákonníkom Ruskej federácie a federálnymi zákonmi ( úradné tajomstvo);
• Súvisiace odborné činnosti, ku ktorým je prístup obmedzený v súlade s Ústavou Ruskej federácie a federálnymi zákonmi (lekárske, notárske, advokátske tajomstvo, korešpondenčné tajomstvo, telefonické rozhovory, poštové zásielky, telegrafné alebo iné správy atď.);
• tie, ktoré sa týkajú obchodných činností, ku ktorým je prístup obmedzený v súlade s Občianskym zákonníkom Ruskej federácie a federálnymi zákonmi (obchodné tajomstvo);
• o podstate vynálezu, úžitkového vzoru alebo priemyselného vzoru pred úradným zverejnením informácie o nich.

Nové uznesenie tiež spresňuje pojem „technická ochrana dôverných informácií“ (ďalej len TZKI), ktorým sa v súlade s bodom 2 nariadenia rozumie:

Vykonávanie práce a (alebo) poskytovanie služieb na ich ochranu pred neoprávneným prístupom, únikom cez technické kanály, ako aj pred osobitnými vplyvmi na takéto informácie s cieľom ich zničenia, skreslenia alebo zablokovania prístupu k nim.

Teda prichádza buď o výkone práce na TZKI, alebo o poskytovaní služieb na TZKI, alebo o spoločnej činnosti.

Pri vykonávaní činností na technickú ochranu dôverných informácií Nasledujúce typy prác a služieb podliehajú licencovaniu:

• kontrolu nad ochranou dôverných informácií pred únikom cez technické kanály v:

- prostriedky a systémy informatizácie;

Technické prostriedky (systémy), ktoré nespracúvajú dôverné

informácie, ale umiestnené v priestoroch, kde sa spracúvajú;

Priestory so zariadeniami (systémami), ktoré sa majú chrániť;

Priestory určené na vedenie dôverných rokovaní (ďalej len chránené priestory);

• kontrola ochrany dôverných informácií pred neoprávneným prístupom a ich modifikácia v prostriedkoch a systémoch informatizácie;
• certifikačné testy na zhodu s požiadavkami informačnej bezpečnosti produktov používaných na ochranu dôverných informácií (technické prostriedky ochrany informácií, chránené technické prostriedky spracovania informácií, technické prostriedky monitorovania účinnosti opatrení na ochranu informácií, softvér (softvér a hardvér) prostriedky informačnej bezpečnosti (ďalej - SSS), chránený softvér (softvér a hardvér) nástroje na spracovanie informácií, softvérové ​​​​(softvérové ​​​​a hardvérové) ovládacie prvky pre bezpečnosť informácií);
• atestačné testy a osvedčenie o súlade s požiadavkami na ochranu informácií:

Chránené priestory;

• chránený dizajn:

- prostriedky a systémy informatizácie;

Priestory s prostriedkami (systémami) informatizácie, ktoré sa majú chrániť;

Chránené priestory;

• inštalácia, inštalácia, testovanie, oprava prostriedkov informačnej bezpečnosti (technické systémy informačnej bezpečnosti, chránené technické prostriedky spracovania informácií, technické prostriedky monitorovania účinnosti opatrení na ochranu informácií, softvérové ​​(softvérové ​​a hardvérové) prostriedky informačnej bezpečnosti, chránený softvér (softvér a hardvér) prostriedky na spracovanie informácií, softvérové ​​(softvérové ​​a hardvérové) prostriedky na kontrolu bezpečnosti informácií).

Zároveň prevádzka systému informačnej bezpečnosti na rozdiel od prevádzky fondov kryptografická ochrana, kde je licenčným orgánom FSB Ruska, sa nevzťahuje na licencovaný typ činnosti. Tento postoj FSTEC Ruska vyvoláva otázky. Prečo sú licencované len prvé fázy tvorby systému ochrany - návrh systému ochrany a inštalácia ochranných prostriedkov? Prečo každodenná práca špecialistov a služieb informačnej bezpečnosti na prevádzku a kontrolu účinnosti systémov informačnej bezpečnosti nepodlieha licencovaniu? Koniec koncov, nie je to o nič menej dôležité ako vytvorenie systému ochrany, pretože úlohou udeľovania licencií na určité druhy činností je predchádzať, identifikovať a potláčať porušovanie požiadaviek, ktoré ustanovila právnická osoba, jej vedúci a ďalší predstavitelia. federálny zákon zo 4.5.2011. 99-FZ "O udeľovaní licencií na určité druhy činností", ďalšie federálne zákony a iné regulačné právne akty Ruskej federácie prijaté v súlade s nimi.

Na základe odseku 1 čl. 49 Občianskeho zákonníka Ruskej federácie v určitých druhoch činností, ktorých zoznam je stanovený zákonom, sa právnická osoba môže angažovať iba na základe špeciálne povolenie(licencie). Druhy činností, na ktoré je potrebné získať licenciu, sú uvedené vo federálnom zákone zo dňa 4.5.2011 N 99-ФЗ „O udeľovaní licencií na určité druhy činností“, odsek 5 čl. 12 z toho medzi tieto druhy a aktivity na TZKI patrí.

Pojem „služby“ znamená určitý typ zmluvy (kapitola 39, články 779 – 783 Občianskeho zákonníka Ruskej federácie), to znamená mnohostrannú transakciu, v ktorej musí nevyhnutne existovať iná strana (odsek 1 čl. 154 Občianskeho zákonníka Ruskej federácie). Ale pojem "práca" nie je definovaný v zákone a môže byť definovaný iba na základe mnohých významov v ruštine: "povolanie, práca, činnosť."

Z vyššie uvedenej formulácie teda môžeme usúdiť, že činnosť na TZKI, tak tretích osôb (ďalej len „služby“), ako aj pre vlastnú potrebu (ďalej len „diela“), podlieha licencovaniu.

Ak teda organizácia v rámci ochrany interných dôverných informácií vykonáva práce na ich technickej ochrane, musí získať príslušnú licenciu. Napríklad v súvislosti s ochranou osobných údajov prevádzkovateľ nemá „vlastné potreby“ na ich ochranu a nemôže existovať zo zákona. Jediným účelom spolkového zákona č. 152 „O osobných údajoch“ je zabezpečiť ochranu ľudských a občianskych práv a slobôd pri spracúvaní jeho osobných údajov. Ďalšie ciele (vrátane uspokojovania potrieb prevádzkovateľov) zákon nešpecifikuje. Okrem toho FZ 99-FZ „O udeľovaní licencií na niektoré druhy činností“ zahŕňa druhy činností, ktoré môžu spôsobiť poškodenie práv, oprávnených záujmov a zdravia občanov. Zákon nerozlišuje medzi záujmami subjektu osobných údajov (zamestnanec) a subjektu osobných údajov (tretej osoby) na ústavnom práve občana na osobné tajomstvo. Zákonodarca (prostredníctvom licenčného inštitútu) chráni akýkoľvek subjekt osobných údajov pred následkami nekvalitného výkonu práce na TZKI.

Správne predpisy FSTEC Ruska na vykonanie štátna funkcia o povoľovaní činnosti pre TZKI (ďalej len Správny poriadok), schválený nariadením zo dňa 28.08.07. č. 181 s najnovšie zmeny zo dňa 30.09.2011 boli v súlade s príkazom č. 515 stanovené termíny a postupnosť úkonov (administratívnych postupov) FSTEC Ruska pri výkone právomocí udeľovania licencií na činnosť TZKI. Licencovanie je predmetom činnosti TZKI vykonávanej právnickými osobami a fyzickými osobami podnikateľmi.

Analýza rezerv Správny poriadok ukazuje, že postup na získanie licencie pre TZKI si vyžaduje veľa času, úsilia a peňazí. Pre získanie licencie na činnosť TZKI je potrebné potvrdiť možnosť splnenia licenčných náležitostí a podmienok určených Nariadením.

Licenčné požiadavky na žiadateľa o licenciu na vykonávanie činností podľa TZKI sú (čl. 5 Poriadku):

a) má žiadateľ o licenciu právnickú osobu - špecialistov, ktorí sú zamestnancami žiadateľa o licenciu, ktorí majú vyššie odborné vzdelanie v oblasti technickej informačnej bezpečnosti alebo vyššie technické alebo stredné odborné (technické) vzdelanie a absolvovali rekvalifikáciu alebo zdokonaľovacie vzdelanie v technickej informačnej bezpečnosti.

b) žiadateľ o licenciu (držiteľ licencie) disponuje priestormi na vykonávanie licencovaných činností, ktoré spĺňajú technické normy a požiadavky na technickú ochranu informácií ustanovené regulačnými právnymi aktmi Ruskej federácie a ktoré mu patria na základe vlastníctva alebo iný právny základ;

c) dostupnosť výrobných, testovacích a kontrolných a meracích zariadení na akomkoľvek právnom základe, ktoré prešli metrologickým overením (kalibráciou), označením a certifikáciou v súlade s právnymi predpismi Ruskej federácie;

d) používanie automatizovaných systémov, ktoré spracúvajú dôverné informácie, ako aj prostriedkov na ochranu takýchto informácií, ktoré prešli postupom posudzovania zhody (certifikované a (alebo) certifikované v súlade s požiadavkami na bezpečnosť informácií) v súlade s právnymi predpismi Ruskej federácie;

e) používanie programov pre elektronické počítače a databázy určené na vykonávanie licencovaných činností na základe zmluvy s ich nositeľom práv;

f) dostupnosť regulačných právnych aktov, regulačných a metodických a metodických dokumentov o technickej ochrane informácií v súlade so zoznamom vytvoreným FSTEC Ruska.

Ako vidíte, na splnenie vyššie uvedených požiadaviek musí mať organizácia aspoň 2 špecialistov, ktorí v niektorých prípadoch (ak neexistujú špecializovaní vyššie vzdelanie) bude vyžadovať ich zaškolenie v doškoľovacích kurzoch v učebných osnov dohodnuté s FSTEC Ruska v rozsahu minimálne 72 hodín. Okrem toho budú potrebné regulačné dokumenty, vrátane obmedzený prístup ako aj prítomnosť na akomkoľvek právnom základe (vlastneného alebo prenajatého na obdobie nie kratšie, ako je doba platnosti licencie) výrobných, skúšobných a kontrolných a meracích zariadení, ktoré prešli metrologickým overením (kalibráciou), označením a certifikáciou v súlade so legislatívy Ruskej federácie. Okrem uvedeného bude potrebné navrhnúť, vytvoriť a atestovať objekty informatizácie ( automatizovaný systém a zabezpečené priestory) určené na spracovanie dôverných informácií. V tomto prípade vzniká problém obstarať na akomkoľvek právnom základe kontrolnú a meraciu techniku, ktorú držiteľ licencie nepotrebuje na poskytovanie služieb TZKI. Navyše, väčšina z týchto požiadaviek je z ekonomického hľadiska dosť nákladná, predovšetkým pre rozpočtové organizácie v oblasti vzdelávania, zdravotníckych služieb, bývania a komunálnych služieb.

Výkon štátnej funkcie povoľovania činností TZKI v súlade s čl. 12-14 Poriadku zahŕňa nasledovné administratívne postupy (obr. 1):

• informovanie a konzultácie o postupe pri výkone štátnych funkcií;
• posúdenie žiadosti o licenciu;
• overenie možnosti žiadateľa o licenciu splniť požiadavky a podmienky licencie;
• rozhodovanie o udelení licencie;
• vydanie dokladu potvrdzujúceho existenciu licencie;
• vydanie duplikátu a kópií dokladu potvrdzujúceho existenciu licencie;
• obnovenie doby platnosti licencie;
• opätovné vydanie dokladu potvrdzujúceho existenciu licencie;
• kontrola dodržiavania licenčných požiadaviek a podmienok zo strany držiteľa licencie;
• pozastavenie, obnovenie licencie a zrušenie licencie;
• vedenie registra licencií;
• poskytovanie informácií z registra licencií.

Úradník FSTEC Ruska rozhodne o udelení alebo zamietnutí udelenia licencie v lehote nepresahujúcej 45 dní odo dňa prijatia žiadosti o licenciu a dokumentov k nej pripojených (článok 14.1 pravidiel).

Dôvody na odmietnutie udelenia licencie sú (článok 14.3 pravidiel):

prítomnosť nepresných alebo skreslených informácií v dokumentoch predložených žiadateľom o licenciu;

nesúlad žiadateľa o licenciu, predmetov, ktoré mu patria alebo ktoré používa licenčné požiadavky a podmienky.

Povolenie na vykonávanie činností technickej ochrany dôverných informácií sa udeľuje na dobu 5 rokov (bod 14.4 Nariadení). Zároveň sa od 30. januára 2011 zmenila výška štátnych poplatkov: za udelenie licencie - 2600 rubľov a za predĺženie platnosti licencie - 200 rubľov.

Ako je zrejmé zo schémy a postupov (obr. 1), ústredná kancelária FSTEC Ruska sa podieľa na licencovaní TZKI so zapojením oddelení FSTEC Ruska vo federálnych okresoch, na rozdiel od licencovania postupy FSB Ruska, kde sa územné oddelenia FSB Ruska zaoberajú udeľovaním licencií v oblasti ich zodpovednosti. Časové trvanie licenčného procesu TZKI môže trvať dva až šesť mesiacov a môže byť značné finančné výdavky, a to najmä v prípade obstarania kontrolnej a meracej techniky do majetku.

Je možné zbaviť sa potreby licencovania činností organizácií a podnikov pre TZKI? Odporúčania FSTEC Ruska sa obmedzujú na potrebu uzavrieť dohodu s organizáciou licencovanou pre TZKI, pričom prítomnosť špecifikovanej licencie pre prevádzkovateľa nie je povinnou požiadavkou.

Odporúčania FSTEC Ruska uzatvárať zmluvy s držiteľmi licencií, ktorých je v registri menej ako 2000, neumožňujú vyriešiť problém ochrany dôverných informácií. Podľa odborných odhadov je v Rusku len 5-7 miliónov prevádzkovateľov osobných údajov, nepočítajúc prevádzkovateľov, ktorí spracúvajú iné typy obmedzených informácií podliehajúcich ochrane v súlade s federálnym zákonom. Okrem toho sa zmluva s držiteľom licencie zvyčajne uzatvára len na určité množstvo prác a služieb, spravidla len na vytvorenie systému ochrany dôverných informácií.

Aké sú riziká pre väčšinu organizácií, ktoré nemajú a neplánujú získať licencie pre TZKI alebo prijímať služby organizácií s takouto licenciou, vzhľadom na nezmenenú štátnu politiku a postavenie FSTEC Ruska? Každá organizácia sa musí sama rozhodnúť, či je potrebné takúto licenciu získať. Za výkon práce bez licencie na činnosti TZKI zo strany FSTEC Ruska neexistujú žiadne administratívne sankcie a v tejto situácii je nepravdepodobné, že sa tieto sankcie objavia, pretože v podmienkach nedokonalosti našej legislatívy o ochrane dôverných informácií , súdy vykladajú normy odlišne federálne zákony a zodpovednosť za ich zlyhanie. V dôsledku toho je závažnosť uznesenia kompenzovaná nezáväznosťou jeho vykonávania. Napríklad článok 14.1 Správneho poriadku Ruskej federácie stanovuje zodpovednosť za „Vykonávanie podnikateľskej činnosti bez štátna registrácia alebo bez osobitného povolenia (licencie). „Podľa článku 2 Občianskeho zákonníka Ruskej federácie je podnikanie nezávislou činnosťou vykonávanou na vlastné riziko, ktorej cieľom je systematické získavanie zisku z používania majetku, predaj tovaru, výkon práce alebo poskytovanie služieb osobami, ktoré sú v tejto funkcii zaregistrované v zákonom ustanovenom konaní.“ Už len toto napovedá, že článok 14.1 možno aplikovať len na tých, ktorí poskytujú služby a zarábajú na zaistení bezpečnosti informácií, teda držiteľov licencií FSTEC a FSB Ruska. Pre veľkú väčšinu organizácií spracúvajúcich dôverné informácie (informácie s obmedzeným prístupom, ktoré nepredstavujú štátne tajomstvo) nemá tento článok nič spoločné. právne akty, usmernenia a metodické dokumenty regulátorov, organizačné a administratívne dokumenty organizácií, používanie systémov a systémov informačnej bezpečnosti vyvinuté a testované v záujme orgánov verejnej moci a im podriadených podnikov. V tomto prípade je základom fungovania systémov na ochranu dôverných informácií osobná voľba vlastníka informácií stupňa ich bezpečnosti a ochranných mechanizmov. Zároveň podľa skúseností krajín s rozvinutou legislatívou v oblasti informačnej bezpečnosti určujúcimi faktormi je rizikovosť účastníkov informačných vzťahov a ich osobná zodpovednosť za Prijaté opatrenia na ochranu dôverných informácií. V Rusku bol tento prístup implementovaný napríklad pri zavedení Bank of Russia Standards v organizácii RF BS, keď nie sú požiadavky na získanie licencií na technickú ochranu dôverných informácií a požiadavky na certifikáciu informačných systémov osobných údajov. povinné (v súlade s článkom 9.6 STO BR IBBS- 1.0-2010).

Alexander Kataržnov

Ph.D., docent, NOÚ DO Vzdelávacie centrum"EUREKA"