Licencia informačnej bezpečnosti. Typy licencií fstack. Získanie licencie od fsttec Ruska na technickú ochranu informácií

Licencovanie v oblasti ochrany informácií je činnosť zahŕňajúca prevod alebo prijatie práv na výkon práce v oblasti ochrany informácií. Štátna politika v oblasti udeľovania licencií určité typyčinnosti a zabezpečovanie ochrany životných záujmov jednotlivca, spoločnosti a štátu určuje nariadenie vlády Ruská federácia zo dňa 24. decembra 1994 č. 1418 "O udeľovaní licencií na niektoré druhy činností" (v znení rozhodnutí vlády RF zo dňa 5.5.2095 č. 450, zo dňa 3.6. .95 č. 1001, zo dňa 22. 4. 97 č. 462, zo dňa 1. 12. 97 č. 1513, pozri aj uznesenie zo dňa 11. 2. 2002 č. 135).

Licencia je povolenie na výkon práce v oblasti ochrany informácií. Licencia sa vydáva na konkrétny druh činnosti na tri roky, po uplynutí ktorej sa opätovne zaregistruje v súlade s postupom ustanoveným na vydanie licencie.

Licencia sa vydáva, ak spoločnosť, ktorá požiadala o licenciu, má podmienky na udelenie licencie: výrobné a skúšobné zariadenia, regulačnú a metodickú dokumentáciu a má vedeckých a inžinierskych pracovníkov.

Organizačnú štruktúru systému štátneho povoľovania podnikov v oblasti ochrany informácií tvoria:

· štátne orgány pre udeľovanie povolení;

· Licenčné centrá;

· Podniky-žiadatelia.

Štátne licenčné orgány:

· organizovať povinné štátne licencovanie podnikov;

· vydávať štátne licencie žiadateľským podnikom;

· Dohodnúť sa na zložení odborných komisií zastúpených licenčnými centrami;

· Vykonávať kontrolu a dohľad nad úplnosťou a kvalitou prác vykonávaných držiteľmi povolení v oblasti ochrany informácií.

Licenčné centrá:

· Vytvárať odborné komisie a ich zloženie predkladať na schválenie vedúcim príslušných štátnych licenčných orgánov, ktorými sú FSTEC a FSB;

· Plánovať a vykonávať prácu na preskúmaní žiadateľských podnikov;

· Kontrolovať úplnosť a kvalitu prác vykonaných držiteľmi licencie.

Licenčné strediská na vládne orgány o udeľovaní povolení sa vytvárajú príkazmi vedúcich týchto orgánov. Odborné komisie sú tvorené z radov odborníkov z priemyslu, orgánov kompetentných v príslušnej oblasti ochrany informácií kontrolovaná vládou, iné organizácie a inštitúcie. V jednej alebo viacerých oblastiach ochrany informácií sa vytvárajú odborné komisie.

Nasledujúce položky podliehajú licencovaniu zo strany FSTEC Ruska:

Certifikácia, certifikačné testovanie chránených technické prostriedky spracovanie informácií (IKT), technické a softvérové ​​nástroje ochrana, nástroje kontroly účinnosti opatrení na ochranu informácií, spracovanie softvéru, ochrana a kontrola bezpečnosti;

· Certifikácia systémov informatizácie, automatizovaných riadiacich systémov, komunikačných systémov a systémov prenosu dát, IT zariadení a vyhradených priestorov pre súlad s požiadavkami usmerňujúcich a regulačných dokumentov o informačnej bezpečnosti;

· Vývoj, výroba, predaj, inštalácia, nastavovanie, montáž, oprava, servisná údržba chránených objektov informatiky, technických prostriedkov ochrany a kontroly účinnosti opatrení na ochranu informácií, chránených softvérových nástrojov na spracovanie, ochranu a kontrolu informačnej bezpečnosti;

Vedenie špeciálnych štúdií na strane elektromagnetická radiácia a tip-off (PEMIN) TCOI;

· Dizajn predmetov v chránenom dizajne.

Licenčný orgán je zodpovedný za:

· Vypracovanie pravidiel, postupov a regulačných a metodických dokumentov o otázkach udeľovania licencií;

· Vykonávanie vedeckého a metodického riadenia licenčnej činnosti;

· Publikácia potrebné informácie o systéme udeľovania licencií;

· posudzovanie žiadostí organizácií a vojenských útvarov o vydanie preukazov spôsobilosti;

· Koordinácia vyhlásení s vojenskými útvarmi zodpovednými za príslušné oblasti ochrany informácií;

· Koordinácia zloženia odborných komisií;

· Organizácia a vedenie špeciálnych skúšok;

· rozhodovanie o vydaní preukazu;

· Vydávanie licencií;

· rozhodovanie o pozastavení, obnovení licencie alebo jej zrušení;

· Vedenie registra vydaných, pozastavených, obnovených a zrušených licencií;

· Nákup, účtovanie a uchovávanie licenčných formulárov;

· Organizácia práce certifikačných centier;

· Kontrola úplnosti a kvality prác vykonaných držiteľmi licencie.

Podľa článku 17 Federálny zákon zo dňa 08.08.2001 č. 128-FZ "O udeľovaní licencií na niektoré druhy činností" (v znení federálneho zákona zo dňa 2.7.2005 č. 80-FZ) tieto druhy činností (v oblasti ochrany informácií) podliehajú licencovanie:

· Činnosti na distribúciu šifrovacích (kryptografických) prostriedkov;

· Aktivity pre údržbušifrovacie (kryptografické) prostriedky;

· poskytovanie služieb v oblasti šifrovania informácií;

Vývoj, výroba šifrovacích (kryptografických) prostriedkov, chránených pomocou šifrovacích (kryptografických) prostriedkov informačné systémy, telekomunikačné systémy;

Činnosti na vývoj a (alebo) výrobu ochranných prostriedkov dôverné informácie; činnosť v oblasti technickej ochrany dôverných informácií;

Činnosti na identifikáciu elektronické zariadenia, určeného na utajený príjem informácií v priestoroch a technických prostriedkoch (pokiaľ uvedená činnosť nie je vykonávaná pre vlastné potreby právnickej osoby alebo fyzického podnikateľa).

V rámci posudzovaných činností boli vydané samostatné nariadenia vlády Ruskej federácie, ktoré objasňujú postup udeľovania licencií. Medzi nimi:

· Nariadenie vlády Ruskej federácie z 26. januára 2006 č. 45 „O organizácii udeľovania licencií na určité druhy činností“; Vyhláška vlády Ruskej federácie z 15. augusta 2006 č. 504 „O licenčných činnostiach na technickú ochranu dôverných informácií“;

· Nariadenie vlády Ruskej federácie z 31. augusta 2006 č. 532 „O licenčných činnostiach na vývoj a (alebo) výrobu prostriedkov na ochranu dôverných informácií“;

· Nariadenie vlády Ruskej federácie z 23.09.2002 č. 691 "O schvaľovaní predpisov o udeľovaní licencií na určité druhy činností súvisiacich so šifrovacími (kryptografickými) prostriedkami".

V súlade s týmito dokumentmi sú držitelia povolení povinní každoročne predkladať licenčnému orgánu alebo certifikačnému centru informácie o počte vykonaných prác pre konkrétne druhy činností uvedené v povolení. Držitelia licencie sú zodpovední za úplnosť a kvalitu vykonanej práce, zaisťujúcu bezpečnosť štátne tajomstvá im boli zverené v rámci praktickej činnosti.

Odoslanie dobrej práce do databázy znalostí je jednoduché. Použite nižšie uvedený formulár

Dobrá práca na stránku ">

Študenti, postgraduálni študenti, mladí vedci, ktorí pri štúdiu a práci využívajú vedomostnú základňu, vám budú veľmi vďační.

Uverejnené dňa http://www.allbest.ru/

Ministerstvo dopravy Ruskej federácie

Federálna agentúra pre železničnú dopravu Federálny štátny rozpočet vzdelávacia inštitúcia vyššie odborné vzdelanie

„Ďaleký východ Štátna univerzita spôsoby komunikácie"

Katedra občianskeho, obchodného a dopravného práva

Disciplína: Právna podpora informačná bezpečnosť

Téma: Licencovanie a certifikácia v oblasti informačnej bezpečnosti

Ukončená študentka (tka)

Nepomniachtchi Natalia Evgenievna

Kontroloval: učiteľ katedry:

Zheleznyakov Anatolij Michajlovič.

Chabarovsk

Úvod

1. Licencovanie v oblasti ochrany informácií

1.1 Licenčný orgán - FSTEC Ruska

1.2 Licenčný orgán – FSB Ruska

2. Certifikácia v oblasti informačnej bezpečnosti

2.1 Organizačná štruktúra certifikačných systémov

2.2 Postup certifikácie

Záver

Bibliografia

Úvod

Jedným z problémov v oblasti ochrany informácií v Rusku je nedostatok oficiálnych dokumentov s podrobné odporúčania o budovaní bezpečných informačných systémov, podobných tým, ktoré vyvinul napríklad American Institute of Standard Technologies (USA) resp. Britský štandard... Hoci v Spojenom kráľovstve neexistujú žiadne predpisy, ktoré by vyžadovali súlad s vládnymi normami, približne 60 % firiem a organizácií v Spojenom kráľovstve dobrovoľne používa vyvinutú normu a zvyšok má v úmysle implementovať jej odporúčania v blízkej budúcnosti.

Licencovanie a certifikácia informačnej bezpečnosti môže tento problém zmierniť. Pre používateľa je potrebné vytvoriť záruky, že ním používané nástroje informačnej bezpečnosti sú schopné poskytnúť požadovaná úroveň ochranu. Práve licencovanie môže pomôcť zabezpečiť, že problémom ochrany informácií sa budú zaoberať len vysokokvalifikovaní špecialisti v tejto oblasti a produkty, ktoré vytvoria, budú na zodpovedajúcej úrovni a budú môcť prejsť certifikáciou.

Bez certifikácie nie je možné posúdiť, či konkrétny výrobok obsahuje potenciálne škodlivé nezdokumentované schopnosti, ktorých prítomnosť je charakteristická najmä pre väčšinu zahraničných výrobkov schopných určitý moment viesť k poruchám systému a dokonca k nezvratným následkom. Typický príklad takéhoto nezdokumentované príležitosti sa Ericsson zaviazal pri vývoji telefónnych ústrední, na základe ktorej Ministerstvo železníc Ruskej federácie buduje svoju telefónna sieť, schopnosť zablokovať svoju prácu pri prijatí hovoru od určitého telefónne číslo, ktorú firma odmieta pomenovať. A tento príklad nie je jediný.

Proces certifikácie softvérového produktu trvá približne rovnako dlho ako jeho vývoj a bez zdrojových kódov programov s komentármi je prakticky nemožný. Mnohé zahraničné spoločnosti zároveň nechcú poskytnúť svoj zdrojový kód softvérové ​​produkty do ruských certifikačných centier. Napríklad, napriek zásadnému súhlasu Microsoftu s certifikáciou Windows NT v Rusku, v ktorom už bolo identifikovaných viac ako 50 bezpečnostných chýb, tento problém sa už dlhé mesiace nedokázal rozbehnúť kvôli nedostatku jeho zdrojového kódu.

Ťažkosti s certifikáciou vedú k tomu, že tie najjednoduchšie získajú certifikát rýchlejšie ako ostatné spomedzi produktov rovnakej triedy, vďaka čomu sa zdajú byť pre používateľa spoľahlivejšie. Dlhé certifikačné obdobia vedú k tomu, že developer má čas uviesť na trh Nová verzia váš produkt a proces sa stane nekonečným.

Certifikácia technických prostriedkov ochrany informácií je ťažko realizovateľná bez vhodných štandardov, ktorých vytvorenie v Rusku bráni v neposlednom rade nedostatok finančných prostriedkov. Tento problém je vyriešený, ak sa o marketing zaujíma viacero firiem a viacero organizácií má záujem o využitie vhodných technických prostriedkov. Napríklad ovocie spoločného úsilia podobné organizácie, firmy a FSTEC (predtým Štátna technická komisia (SCC)) bol vypracovaním Usmernení pre technický materiál Štátneho colného výboru Ruskej federácie „Prostriedky výpočtovej techniky... Firewally. Ochrana pred neoprávneným prístupom k informáciám. Indikátory ochrany pred neoprávneným prístupom k informáciám.“ Umožnil klasifikovať prostriedky, ktoré sú schopné do určitej miery zabezpečiť ochranu podnikových sietí pred vonkajšími prienikmi.

Dokument predpokladá existenciu niekoľkých tried firewally: od najjednoduchších, umožňujúcich iba riadiť informačné toky, po najzložitejšie, vykonávajúce úplné prekódovanie prichádzajúcich informácií, plne chrániace firemná sieť od vonkajších vplyvov. Už dnes je certifikácia zhody Technické špecifikácie firewally ako Sun Screen, SKIPbridge a Pandora prešli cez firewally vyvinuté v súlade s Technickými smernicami, ako to povoľujú platné zákony. Aj s ich certifikáciou však nastal boj.

1. Licencovanie v oblasti ochrany informácií

1.1 Licenčný orgán - FSTEC Ruska

Licenčnými požiadavkami na žiadateľa o licenciu na vykonávanie činností na vývoj a výrobu SZKI (ďalej len licencia) sú:

1. žiadateľ o licenciu má najmenej dvoch špecialistov s vyšším odborným vzdelaním v odbore technická informačná bezpečnosť alebo vyšším odborným alebo stredným odborným (technickým) vzdelaním a absolvovali rekvalifikáciu alebo zdokonaľovacie vzdelanie v oblasti vývoja a (alebo) výroby systémov informačnej bezpečnosti ; špecialista na záruku ochrany používateľa

2. dostupnosť priestorov na vykonávanie licencovaného druhu činnosti, ktoré spĺňajú požiadavky technickej a technologickej dokumentácie, národných noriem a metodických dokumentov v OZI a sú vo vlastníctve žiadateľa o licenciu na základe vlastníctva alebo inak právny základ;

3. prítomnosť na vlastníckych právach alebo na inom právnom základe potrebnom na vykonávanie licencovaného druhu činnosti kontrolných a meracích zariadení (prešlo v súlade s právnymi predpismi Ruskej federácie metrologické overovanie (kalibrácia) a označovanie), výroba a testovacie zariadenia;

4.dostupnosť programov určených na vykonávanie licencovaného druhu činnosti (vrátane nástrojov na vývoj softvéru pre SZKI) pre elektronické počítače a databázy, ktoré vlastní žiadateľ o licenciu na základe vlastníctva alebo na inom právnom základe;

5. existencia licencií patriacich žiadateľovi na základe vlastníctva alebo iného právneho základu, technickej a technologickej dokumentácie, dokumentácie obsahujúcej národné normy a metodických dokumentov potrebných na vykonávanie licencovaného druhu činnosti v súlade so zoznamom schválené FSTEC Ruska;

6.dostupnosť systému riadenia výroby vrátane pravidiel a postupov kontroly a hodnotenia systému pre rozvoj SZKI, účtovanie zmien vykonaných v konštrukcii a projektová dokumentácia pre produkty vo vývoji

7.dostupnosť systému riadenia výroby vrátane pravidiel a postupov kontroly a hodnotenia systému výroby SZKI, posudzovania kvality výrobkov a nemennosti stanovených parametrov s prihliadnutím na zmeny vykonané v technickej a konštrukčnej dokumentácii pre vyrábané produkty, účtovníctvo hotové výrobky Kiyaev V., Granichin O. // Bezpečnosť informačných systémov // Národná otvorená univerzita "INTUIT" * 2016 // s. 105-106

1.2 Licenčný orgán - FSB Ruska

Licenčné požiadavky na žiadateľa o licenciu sú:

1Dostupnosť osôb v štáte žiadateľa o licenciu na hlavné zamestnanie podľa personálnej tabuľky týchto kvalifikovaných pracovníkov:

2. vedúci zamestnanec a (alebo) osoba oprávnená riadiť prácu na koncesovanom druhu činnosti, ktorá má vyššie odborné vzdelanie v oblasti informačnej bezpečnosti podľa „Celoruského klasifikátora odborností“ a (alebo) preškolená v r. jedna zo špecialít tohto smeru (normatívna doba je viac ako 500 vyučovacích hodín), ako aj tí, ktorí majú najmenej 5 rokov praxe v licencovanom type činnosti;

3.Inžinieri a technickí pracovníci (najmenej dve osoby), ktorí majú vyššie odborné vzdelanie v oblasti informačnej bezpečnosti podľa "Celoruského klasifikátora odborností" a (alebo) prešli rekvalifikáciou v tejto odbornosti (štandardná doba je viac ako 100 vyučovacích hodín);

4. prítomnosť priestorov na vykonávanie licencovaného druhu činnosti, ktoré spĺňajú požiadavky technickej a technologickej dokumentácie, národných noriem a metodických dokumentov v oblasti RFI a patria žiadateľovi o licenciu na základe vlastníctva alebo na základe iných právnych predpisov. základ;

5. či má žiadateľ licenciu na vlastnícke právo alebo na inom právnom základe, kontrolné a meracie zariadenia (prešlo v súlade s legislatívou Ruskej federácie metrologické overovanie (kalibrácia) a označovanie), výrobné, skúšobné zariadenia a iné predmety potrebné na vykonávanie licencovaného druhu činnosti;

6.dostupnosť programov určených na vykonávanie licencovaného druhu činnosti (vrátane nástrojov na vývoj softvéru pre SZKI) pre elektronické počítače a databázy, ktoré vlastní žiadateľ o licenciu na základe vlastníctva alebo na inom právnom základe;

7. dostupnosť zariadení na spracovanie informácií certifikovaných v súlade s požiadavkami informačnej bezpečnosti používaných na vývoj a výrobu SZKI v súlade s požiadavkami na ochranu informácií;

8.dostupnosť systému riadenia výroby vrátane pravidiel a postupov kontroly a hodnotenia systému rozvoja SZKI, účtovania zmien vykonaných v projektovej a konštrukčnej dokumentácii vyvíjaných výrobkov

9.dostupnosť systému riadenia výroby vrátane pravidiel a postupov kontroly a posudzovania systému výroby SZKI, posudzovania kvality výrobkov a nemennosti stanovených parametrov s prihliadnutím na zmeny vykonané v technickej a konštrukčnej dokumentácii pre r. vyrobené výrobky, účtovanie hotových výrobkov Snytikov AA Licencovanie a certifikácia v oblasti informačnej bezpečnosti.-M: Helios ARV, 2012 // s. 223-224

2. Certifikácia informačnej bezpečnosti

2.1 Organizačná štruktúra certifikačného systému

Organizačnú štruktúru certifikačného systému tvoria:

1. Štátna technická komisia Ruska (federálny orgán pre certifikáciu prostriedkov informačnej bezpečnosti);

2. ústredný orgán certifikačného systému pre prostriedky informačnej bezpečnosti;

3. orgány pre certifikáciu prostriedkov informačnej bezpečnosti;

4. testovacie centrá (laboratóriá);

5. Žiadatelia (vývojári, výrobcovia, dodávatelia, spotrebitelia produktov informačnej bezpečnosti).

2 Štátna technická komisia Ruska v rámci svojej pôsobnosti vykonáva tieto funkcie:

1.Vytvára systém certifikácie prostriedkov informačnej bezpečnosti a stanovuje pravidlá certifikácie konkrétnych druhov prostriedkov informačnej bezpečnosti v tomto systéme;

2. organizuje fungovanie certifikačného systému pre prostriedky informačnej bezpečnosti;

3.určuje zoznam nástrojov informačnej bezpečnosti podliehajúcich povinnej certifikácii v tomto systéme;

4. stanovuje pravidlá pre akreditáciu a vydávanie licencií na vykonávanie certifikačných prác;

5. organizuje a financuje vypracovanie regulačných a metodických dokumentov pre certifikačný systém prostriedkov informačnej bezpečnosti;

6. určuje ústredný orgán certifikačného systému pre prostriedky informačnej bezpečnosti (ak je to potrebné) alebo plní funkcie tohto orgánu;

7. schvaľuje normatívne dokumenty informačnej bezpečnosti, na dodržiavanie ktorých sa vykonáva certifikácia prostriedkov informačnej bezpečnosti v systéme a metodické dokumenty na vykonávanie certifikačných skúšok;

8. akreditovať certifikačné orgány a testovacie strediská (laboratóriá), vydávať im licencie na oprávnenie vykonávať určité druhy prác;

9.vedie Štátny registerúčastníci a predmety certifikácie;

10.Vykonáva štátnu kontrolu a dozor a ustanovuje postup inšpekčnej kontroly dodržiavania certifikačného poriadku a certifikovanými prostriedkami ochrana informácií;

11. zvažuje odvolania týkajúce sa otázok certifikácie;

12.predstavuje na štátna registrácia certifikačný systém Gosstandart Ruska a značka zhody;

13. organizuje pravidelné zverejňovanie informácií o certifikácii;

14. spolupracuje s príslušnými autorizovanými orgánmi iných krajín a medzinárodnými organizáciami v otázkach certifikácie, rozhoduje o uznávaní medzinárodných a zahraničných certifikátov;

15. organizuje školenia a certifikácie odborníkov – audítorov;

16. vydáva osvedčenia a licencie na používanie značky zhody;

17. pozastaví alebo zruší vydané certifikáty.

2.2 Postup certifikácie

Proces certifikácie zahŕňa nasledujúce kroky:

podanie a posúdenie žiadosti o certifikáciu prostriedkov informačnej bezpečnosti; testovanie certifikovaných nástrojov informačnej bezpečnosti a certifikácia ich produkcie;

preskúmanie výsledkov skúšok, vyhotovenie, registrácia a vydanie certifikátu a licencie na právo používať značku zhody;

vykonávanie štátnej kontroly a dozoru, inšpekčnej kontroly nad dodržiavaním pravidiel povinnej certifikácie a nad certifikovanými prostriedkami ochrany informácií.

informovanie o výsledkoch certifikácie prostriedkov informačnej bezpečnosti;

posudzovanie odvolaní.

Predloženie a posúdenie žiadosti o certifikáciu produktov informačnej bezpečnosti.

Na získanie certifikátu žiadateľ zašle žiadosť (príloha 1) Štátnej technickej komisii Ruska na testovanie s uvedením certifikačnej schémy, noriem a iných regulačných dokumentov na splnenie požiadaviek, ktorých certifikácia sa musí vykonať.

Štátna technická komisia Ruska do jedného mesiaca od prijatia žiadosti zašle žiadateľovi do certifikačného orgánu a skúšobného centra (laboratória) určeného na certifikáciu rozhodnutie o vykonaní certifikácie (príloha 2). Na žiadosť žiadateľa je možné zmeniť certifikačný orgán a testovacie centrum (laboratórium).

Žiadateľ je povinný po obdržaní rozhodnutia predložiť certifikačnému orgánu a testovaciemu centru (laboratóriu) prostriedky informačnej bezpečnosti v súlade s TU pre tento nástroj, ako aj súbor technickej a prevádzkovej dokumentácie, v súlade s predpismi č. dokumenty pre ESKD, ESPD pre certifikovaný nástroj informačnej bezpečnosti.

Testovanie certifikovaných nástrojov informačnej bezpečnosti v testovacích centrách (laboratóriách).

Skúšky certifikovaných nástrojov informačnej bezpečnosti sa vykonávajú na vzorkách, ktorých prevedenie, zloženie a technológia výroby musia byť rovnaké ako u vzoriek dodaných spotrebiteľovi, objednávateľovi podľa programov a skúšobných metód dohodnutých so žiadateľom a schválených certifikačný orgán. Technická a prevádzková dokumentácia pre nástroje sériovej informačnej bezpečnosti musí mať písmeno nie nižšie ako "O1" (podľa ESKD).

Počet vzoriek, postup ich výberu a identifikácie musí zodpovedať požiadavkám regulačných a metodických dokumentov pre daný pohľad prostriedky informačnej bezpečnosti.

Ak v čase certifikácie neexistujú testovacie centrá (laboratóriá), certifikačný orgán určí možnosť, miesto a podmienky testovania, pričom zabezpečí objektivitu ich výsledkov.

Načasovanie testov je stanovené dohodou medzi žiadateľom a testovacím centrom (laboratóriom).

Na žiadosť žiadateľa by jeho zástupcovia mali dostať možnosť oboznámiť sa s podmienkami uchovávania a testovania vzoriek prostriedkov informačnej bezpečnosti v testovacom stredisku (laboratóriu). Kiyaev V., Granichin O. // Bezpečnosť informačných systémov // Národná otvorená univerzita "INTUIT" * 2016 // s. 105-106

Výsledky skúšok sú zdokumentované v protokoloch a záveroch, ktoré skúšobné stredisko (laboratórium) zasiela certifikačnému orgánu av kópii žiadateľovi.

Pri zmenách konštrukcie (zloženia) prostriedkov informačnej bezpečnosti alebo technológie ich výroby, ktoré môžu ovplyvniť vlastnosti prostriedkov informačnej bezpečnosti, žiadateľ (vývojár, výrobca, dodávateľ) túto skutočnosť oznámi certifikačnému orgánu. Ten rozhodne o potrebe nových testov týchto nástrojov informačnej bezpečnosti.

Certifikácia importovaných nástrojov informačnej bezpečnosti sa vykonáva podľa rovnakých pravidiel ako domáce.

Záver

Ide teda o postup potvrdenia zhody, ktorým organizácia nezávislá od výrobcu (predávajúci) a spotrebiteľa (kupujúceho) osvedčuje písanieže produkty spĺňajú stanovené požiadavky... Ak hovoríme o certifikácii vo vzťahu k prostriedkom informačnej bezpečnosti, tak je to činnosť na potvrdenie ich súladu s požiadavkami technické predpisy, národné normy alebo iné normatívne dokumenty o ochrane informácií.

Samotný certifikačný systém predstavuje FSTEC Ruska, ktorý je podriadený akreditovaným certifikačným orgánom pre prostriedky informačnej bezpečnosti a skúšobným laboratóriám.

Celý certifikačný systém zabezpečuje predovšetkým dosiahnutie národnej bezpečnosti v oblasti informatizácie. Rovnako dôležité je formovanie a realizácia jednotnej vedeckej, technickej a priemyselnej politiky v oblasti informatizácie. Rovnako ako podpora vytvárania trhu pre chránené informačných technológií a prostriedkov ich podpory, regulácie a kontroly vývoja, ako aj následnej výroby prostriedkov informačnej bezpečnosti, pomoc spotrebiteľom pri kompetentnom výbere prostriedkov informačnej bezpečnosti, ochrana spotrebiteľa pred nepoctivosťou zhotoviteľa (predajcu, výrobcu), potvrdenie ukazovateľov kvality výrobkov.

Licencovanie - činnosti súvisiace s udeľovaním licencií, opätovné vydávanie dokladov potvrdzujúcich dostupnosť licencií, pozastavenie a predĺženie platnosti licencií, zrušenie licencií a kontrola licenčných orgánov nad dodržiavaním zo strany držiteľov licencií pri vykonávaní licencovaných činností. príslušných licenčných požiadaviek a podmienok.

Licencia - osobitné povolenie na vykonávanie určitého druhu činnosti podliehajúcej povinnému splneniu licenčných náležitostí a podmienok vydaných licenčným orgánom právnickej osobe alebo fyzickej osobe podnikateľa.

Licenčnú činnosť v oblasti informačnej bezpečnosti vykonávajú FSB a FSTEC Ruska. Zvážte licencované činnosti v oblasti ochrany dôverných informácií.

FSB Ruska:

1. Vývoj a (alebo) výroba prostriedkov na ochranu dôverných informácií (v kompetencii FSB)

2. Vývoj, výroba, predaj a nákup za účelom predaja špeciálnych technických prostriedkov určených na utajený príjem informácií fyzickými osobami podnikateľmi a právnickými osobami podnikajúcimi v podnikateľskej činnosti

3. Činnosť na identifikáciu elektronických zariadení určených na utajené získavanie informácií v priestoroch a technických prostriedkoch (pokiaľ uvedená činnosť nie je vykonávaná pre vlastnú potrebu právnickej osoby alebo fyzického podnikateľa)

4.Činnosti na distribúciu šifrovacích (kryptografických) prostriedkov

5. Činnosti údržby šifrovacích (kryptografických) zariadení

6.Poskytovanie služieb v oblasti šifrovania informácií

7. Vývoj, výroba šifrovacích (kryptografických) prostriedkov, chránených pomocou šifrovacích (kryptografických) prostriedkov informačných systémov, telekomunikačných systémov.

Bibliografia

1 . V. Kijajev, O. Granichin // Bezpečnosť informačných systémov // Národná otvorená univerzita "INTUIT" * rok 2016 // s. 105-106

2. Snytikov A.A. Licencovanie a certifikácia v oblasti informačnej bezpečnosti.-M: Helios ARV, 2012 // s. 223-224

3. Systém certifikácie prostriedkov kryptografickej ochrany informácií: č.ROSS RU.0001.030001 zo dňa 15.11.2012.

4.Bumazhkov A. Kirina A. Licencovanie a certifikácia v oblasti informačnej bezpečnosti

5. Pojmy a definície v oblasti informačnej bezpečnosti Moskva, 2011

Uverejnené na Allbest.ru

...

Podobné dokumenty

Základné princípy, ktorý by mal zabezpečiť informačnú bezpečnosť, jej regulačný rámec. Štátne orgány Ruskej federácie, ktoré kontrolujú činnosť v oblasti ochrany informácií, regulačné dokumenty v tejto oblasti. Metódy ochrany informácií.

abstrakt pridaný 24.09.2014


Prostriedky a metódy riešenia rôzne úlohy chrániť informácie, zabrániť úniku, zaistiť bezpečnosť chránených informácií. Technická (hardvérová), softvérová, organizačná, zmiešaná hardvérová a softvérová informačná bezpečnosť.

abstrakt, pridaný 22.05.2010


Právna a regulačná podpora informačnej bezpečnosti v Ruskej federácii. Právny režim informácií. Orgány zabezpečujúce informačnú bezpečnosť Ruskej federácie. Služby, ktoré organizujú bezpečnosť informácií na podnikovej úrovni. Štandardy informačnej bezpečnosti.

prezentácia pridaná 19.01.2014


Hlavné metódy neoprávneného prístupu k informáciám v počítačové systémy a ochranu pred ním. Medzinárodné a domáce organizačné, právne a regulačné akty na zabezpečenie informačnej bezpečnosti procesov spracovania informácií.

abstrakt pridaný dňa 04.09.2015


Informácie ako podstatná časť moderný komunikačný systém. Právna úprava v oblasti informačnej bezpečnosti. Právne a regulačné dokumenty upravujúce ochranu informácií. Organizačné a právne formy ochrany štátneho tajomstva.

test, pridané 11.03.2009


Odporúčania pre rozvoj malého podnikania. Ochrana vlastníckych práv, rozvoj trhových inštitúcií. Dane a ich správa. Licenčný a autorizačný systém. Kontroly, pokuty a penále. Prístup k informáciám a otvorenosť štátu.

abstrakt, pridaný 31.05.2009


Ciele vykonávania povoľovania v oblasti ochrany životného prostredia a využívania prírodných zdrojov. Zoznam druhov licencií – dokumenty oprávňujúce používať jeden typ prírodný zdroj v zavedené miesto a za určitých podmienok.

test, pridaný 19.12.2012


Licencovanie ako civilná inštitúcia. Vládny program privatizácia štátnych a komunálnych podnikov v Rusku. Funkcie Federálnej služby pre dohľad nad dopravou. Živnostenské licencovanie.

Pojem informácie, informačné zdroje, ich miesto v modernom práve. Informačné tabule s obmedzený prístup... Právny režim ochrany tvoriacej štátne, služobné, služobné tajomstvo; zabezpečenie nedostupnosti pre tretie strany.

abstrakt pridaný dňa 13.12.2013


Licencia ako forma štátna regulácia... Postup pri udeľovaní licencií na činnosť bánk a nebankových úverových a finančných organizácií. Udeľovanie licencií na činnosti pre projektovanie a výstavbu budov a inžinierske prieskumy.

Licencovanie v oblasti ochrany informácií je činnosť zahŕňajúca prevod alebo prijatie práv na výkon práce v oblasti ochrany informácií. Štátnu politiku v oblasti udeľovania povolení na niektoré druhy činností a zabezpečovania ochrany životne dôležitých záujmov jednotlivca, spoločnosti a štátu určuje nariadenie vlády Ruskej federácie z 24. decembra 1994 č. 1418 „O udeľovanie licencií na niektoré druhy činností“ (v znení uznesení vlády Ruskej federácie zo dňa 5.5.2095 č. 450, zo dňa 3.6. , zo dňa 22. 04. 97 č. 462, zo dňa 1. 12. 97 č. 1513, pozri aj uznesenie zo dňa 11. 2. 2002 č. 135).

Licencia je povolenie na výkon práce v oblasti ochrany informácií. Licencia sa vydáva na konkrétny druh činnosti na tri roky, po uplynutí ktorej sa opätovne zaregistruje v súlade s postupom ustanoveným na vydanie licencie.

Licencia sa vydáva, ak spoločnosť, ktorá požiadala o licenciu, má podmienky na udelenie licencie: výrobné a skúšobné zariadenia, regulačnú a metodickú dokumentáciu a má vedeckých a inžinierskych pracovníkov.

Organizačnú štruktúru systému štátneho povoľovania podnikov v oblasti ochrany informácií tvoria:

· štátne orgány pre udeľovanie povolení;

· Licenčné centrá;

· Podniky-žiadatelia.

Štátne licenčné orgány:

· organizovať povinné štátne licencovanie podnikov;

· vydávať štátne licencie žiadateľským podnikom;

· Dohodnúť sa na zložení odborných komisií zastúpených licenčnými centrami;

· Vykonávať kontrolu a dohľad nad úplnosťou a kvalitou prác vykonávaných držiteľmi povolení v oblasti ochrany informácií.

Licenčné centrá:

· Vytvárať odborné komisie a ich zloženie predkladať na schválenie vedúcim príslušných štátnych licenčných orgánov, ktorými sú FSTEC a FSB;

· Plánovať a vykonávať prácu na preskúmaní žiadateľských podnikov;

· Kontrolovať úplnosť a kvalitu prác vykonaných držiteľmi licencie.

Licenčné strediská pod štátnymi licenčnými orgánmi vznikajú na základe príkazov vedúcich týchto orgánov. Odborné komisie sa tvoria z radov odborníkov z priemyslu, orgánov štátnej správy, iných organizácií a inštitúcií kompetentných v príslušnej oblasti ochrany informácií. V jednej alebo viacerých oblastiach ochrany informácií sa vytvárajú odborné komisie.

Nasledujúce položky podliehajú licencovaniu zo strany FSTEC Ruska:

· Certifikácia, certifikačné testovanie bezpečných technických prostriedkov spracovania informácií (IKT), prostriedkov technickej a softvérovej ochrany, prostriedkov sledovania účinnosti opatrení na ochranu informácií, spracovania, ochrany a bezpečnostnej kontroly softvéru;

· Certifikácia systémov informatizácie, automatizovaných riadiacich systémov, komunikačných systémov a systémov prenosu dát, IT zariadení a vyhradených priestorov pre súlad s požiadavkami usmerňujúcich a regulačných dokumentov o informačnej bezpečnosti;

· Vývoj, výroba, predaj, inštalácia, nastavovanie, montáž, oprava, servisná údržba chránených objektov informatiky, technických prostriedkov ochrany a kontroly účinnosti opatrení na ochranu informácií, chránených softvérových nástrojov na spracovanie, ochranu a kontrolu informačnej bezpečnosti;

· Vykonávanie špeciálnych štúdií pre bočné elektromagnetické žiarenie a rušenie (PEMIN) TCOI;

· Dizajn predmetov v chránenom dizajne.

Licenčný orgán je zodpovedný za:

· Vypracovanie pravidiel, postupov a regulačných a metodických dokumentov o otázkach udeľovania licencií;

· Vykonávanie vedeckého a metodického riadenia licenčnej činnosti;

· Zverejňovanie potrebných informácií o licenčnom systéme;

· posudzovanie žiadostí organizácií a vojenských útvarov o vydanie preukazov spôsobilosti;

· Koordinácia vyhlásení s vojenskými útvarmi zodpovednými za príslušné oblasti ochrany informácií;

· Koordinácia zloženia odborných komisií;

· Organizácia a vedenie špeciálnych skúšok;

· rozhodovanie o vydaní preukazu;

· Vydávanie licencií;

· rozhodovanie o pozastavení, obnovení licencie alebo jej zrušení;

· Vedenie registra vydaných, pozastavených, obnovených a zrušených licencií;

· Nákup, účtovanie a uchovávanie licenčných formulárov;

· Organizácia práce certifikačných centier;

· Kontrola úplnosti a kvality prác vykonaných držiteľmi licencie.

V súlade s článkom 17 federálneho zákona zo dňa 08.08.2001 č. 128-FZ "o udeľovaní licencií na určité druhy činností" (v znení federálneho zákona z 2. júla 2005 č. 80-FZ) tieto druhy činností (v oblasť ochrany informácií) podliehajú licencovaniu:

· Činnosti na distribúciu šifrovacích (kryptografických) prostriedkov;

· Činnosť v oblasti údržby šifrovacích (kryptografických) prostriedkov;

· poskytovanie služieb v oblasti šifrovania informácií;

· Vývoj, výroba šifrovacích (kryptografických) prostriedkov, chránených pomocou šifrovacích (kryptografických) prostriedkov informačných systémov, telekomunikačných systémov;

· Aktivity na vývoj a (alebo) výrobu prostriedkov na ochranu dôverných informácií; činnosť v oblasti technickej ochrany dôverných informácií;

· Činnosti na identifikáciu elektronických zariadení určených na utajené získavanie informácií v priestoroch a technických prostriedkoch (pokiaľ uvedená činnosť nie je vykonávaná pre vlastnú potrebu právnickej osoby alebo fyzického podnikateľa).

V rámci posudzovaných činností boli vydané samostatné nariadenia vlády Ruskej federácie, ktoré objasňujú postup udeľovania licencií. Medzi nimi:

· Nariadenie vlády Ruskej federácie z 26. januára 2006 č. 45 „O organizácii udeľovania licencií na určité druhy činností“; Vyhláška vlády Ruskej federácie z 15. augusta 2006 č. 504 „O licenčných činnostiach na technickú ochranu dôverných informácií“;

· Nariadenie vlády Ruskej federácie z 31. augusta 2006 č. 532 „O licenčných činnostiach na vývoj a (alebo) výrobu prostriedkov na ochranu dôverných informácií“;

· Nariadenie vlády Ruskej federácie z 23.09.2002 č. 691 "O schvaľovaní predpisov o udeľovaní licencií na určité druhy činností súvisiacich so šifrovacími (kryptografickými) prostriedkami".

V súlade s týmito dokumentmi sú držitelia povolení povinní každoročne predkladať licenčnému orgánu alebo certifikačnému centru informácie o počte vykonaných prác pre konkrétne druhy činností uvedené v povolení. Držitelia licencie zodpovedajú za úplnosť a kvalitu vykonaných prác, zaistenie bezpečnosti štátnych tajomstiev, ktoré im boli zverené pri ich praktickej činnosti.

Pre normálne fungovanie systémov elektronickej správy dokumentov (EDM) je potrebné vypracovať postupy na riešenie prípadných konfliktov. Účastníkom takýchto konfliktov môže byť okrem účastníkov EDF a poskytovateľskej spoločnosti aj spoločnosť zaoberajúca sa vývojom softvéru.

Predpokladá sa, že zmluva s developerom zohľadňuje dostupnosť referenčnej vzorky softvér, ktoré môže viesť iba poskytovateľská spoločnosť alebo všetci účastníci EDF. Vyžaduje si to splnenie dvoch základných podmienok:

musí byť zdokumentované, že každý účastník systému EDM (vrátane poskytovateľskej spoločnosti) má nainštalovaný softvér, ktorý zodpovedá referenčnej vzorke;

uchovávanie referenčných vzoriek je organizované tak, aby sa vylúčila možnosť zmeny referenčnej vzorky softvéru bez vedomia zmluvných strán.

Takýto režim môže zabezpečiť systém niekoľkých verejných kľúčov.

V dnešnej dobe, keď sa moderné informačné technológie intenzívne zavádzajú do všetkých sfér života a aktivít spoločnosti, národná a ako jej súčasť aj ekonomická bezpečnosť štátu začína priamo závisieť od zabezpečenia informačnej bezpečnosti. Preto v záujme vytvorenia záruk na zabezpečenie potrebnej stability prostriedkov ochrany informácií štát preberá zodpovednosť za licencovanie činností organizácií zaoberajúcich sa ochranou informácií a certifikáciu zodpovedajúcich technických prostriedkov.

Dnešná úroveň ochrany pred vonkajšími informačnými hrozbami v globále otvorené siete nemožno považovať za uspokojivé: v Rusku stále neexistuje komplexná a technicky správna stratégia v tejto oblasti. S cieľom zmeniť situáciu by sa mal urýchlene vypracovať a implementovať súbor opatrení v oblasti legislatívy a štandardizácie prostriedkov na zaistenie informačnej bezpečnosti v Rusku. Medzi prioritné úlohy v tomto smere patria:

· Prijatie špeciálneho zákona, podobného ako je „Computer Security Act“ v USA, ktorým sa za metodickú podporu práce v oblasti informačnej bezpečnosti stanú zodpovedné konkrétne vládne orgány;

· Rozvoj jednotných prístupov k zaisteniu bezpečnosti pre organizácie rôznych profilov, veľkostí a foriem vlastníctva;

· Zabezpečenie výskytu dostatočného množstva rôznych certifikovaných nástrojov na riešenie problémov informačnej bezpečnosti na trhu.

Jedným z problémov v oblasti informačnej bezpečnosti v Rusku je nedostatok oficiálnych dokumentov s podrobnými odporúčaniami na budovanie bezpečných informačných systémov, podobných tým, ktoré vyvinul napríklad American Institute of Standard Technologies (USA) a britský štandard. Hoci v Spojenom kráľovstve neexistujú žiadne predpisy vyžadujúce splnenie vládnych noriem, približne 60 % firiem a organizácií v Spojenom kráľovstve dobrovoľne používa vyvinutú normu a zvyšok má v úmysle implementovať jej odporúčania v blízkej budúcnosti.

Licencovanie a certifikácia informačnej bezpečnosti môže tento problém zmierniť. Pre používateľa je potrebné vytvoriť záruky, že ním používané nástroje informačnej bezpečnosti sú schopné poskytnúť požadovanú úroveň ochrany. Práve licencovanie môže pomôcť zabezpečiť, že problémom ochrany informácií sa budú zaoberať len vysokokvalifikovaní špecialisti v tejto oblasti a produkty, ktoré vytvoria, budú na zodpovedajúcej úrovni a budú môcť prejsť certifikáciou.

Bez certifikácie nie je možné posúdiť, či konkrétny nástroj obsahuje potenciálne škodlivé nezdokumentované vlastnosti, ktorých prítomnosť je charakteristická najmä pre väčšinu zahraničných produktov, čo môže v určitom okamihu viesť k poruchám systému a dokonca k nezvratným následkom. Typickým príkladom takýchto nezdokumentovaných schopností je schopnosť Ericssonu zablokovať ich činnosť pri prijatí hovoru na určité telefónne číslo, ktoré firma odmietne pomenovať, pri vývoji telefónnych ústrední, na základe ktorých Ministerstvo železníc RF buduje svoju telefónna sieť. A tento príklad nie je jediný.

Proces certifikácie softvérového produktu trvá približne rovnako dlho ako jeho vývoj a bez zdrojových kódov programov s komentármi je prakticky nemožný. Mnohé zahraničné firmy zároveň nechcú odovzdať zdrojové kódy svojich softvérových produktov ruským certifikačným centrám. Napríklad, napriek zásadnému súhlasu Microsoftu s certifikáciou Windows NT v Rusku, v ktorom už bolo identifikovaných viac ako 50 bezpečnostných chýb, tento problém sa už dlhé mesiace nedokázal rozbehnúť kvôli nedostatku jeho zdrojového kódu.

Ťažkosti s certifikáciou vedú k tomu, že tie najjednoduchšie získajú certifikát rýchlejšie ako ostatné spomedzi produktov rovnakej triedy, vďaka čomu sa zdajú byť pre používateľa spoľahlivejšie. Dlhé certifikačné obdobia vedú k tomu, že vývojárska spoločnosť má čas uviesť na trh novú verziu svojho produktu a proces sa stáva nekonečným.

Certifikácia technických prostriedkov ochrany informácií je ťažko realizovateľná bez vhodných štandardov, ktorých vytvorenie v Rusku bráni v neposlednom rade nedostatok finančných prostriedkov. Tento problém je vyriešený, ak sa o marketing zaujíma viacero firiem a viacero organizácií má záujem o využitie vhodných technických prostriedkov. Napríklad ovocím spoločného úsilia takýchto organizácií, firiem a FSTEC (predtým Štátna technická komisia (STC)) bol vývoj Štátneho colného výboru Ruskej federácie Technické usmernenia "Počítačové zariadenia. Firewally. Ochrana pred neoprávneným prístupom k informácie. Indikátory ochrany pred neoprávneným prístupom k informáciám“. Umožnil klasifikovať nástroje, ktoré sú schopné do určitej miery chrániť podnikové siete pred vonkajšími prienikmi.

Dokument predpokladá existenciu niekoľkých tried firewallov: od najjednoduchších, umožňujúcich iba kontrolu nad informačnými tokmi, až po najzložitejšie, vykonávajúce kompletné prekódovanie prichádzajúcich informácií, úplne chrániace podnikovú sieť pred vonkajšími vplyvmi. Firewally ako Sun Screen, SKIPbridge a Pandora už dnes prešli certifikáciou zhody s Technickými smernicami, ako to umožňujú platné zákony. Aj s ich certifikáciou však nastal boj.

Berúc do úvahy požiadavky informačnej bezpečnosti a svetovej praxe v oblasti ochrany informácií, javí sa ako účelné, aby sa Rusko pripojilo k zavedeným systémom medzinárodnej štandardizácie a certifikácie informačných technológií, čo v praxi znamená:

· Zosúladenie národných a priemyselných noriem s medzinárodnými;

· Účasť ruských zástupcov v medzinárodných certifikačných systémoch (vrátane certifikačných testov);

· Možnosť uznávania medzinárodných certifikátov v Rusku.

Okrem toho v súlade s platnou legislatívou musí mať každá organizácia, ktorá zhromažďuje a spracúva osobné údaje (napríklad transakcie s plastovými kartami), licenciu na vykonávanie takýchto činností a na používanie certifikovaných prostriedkov.

FSTEC Ruska (predtým Štátna technická komisia) vyvinula potrebný regulačný rámec na ochranu informácií pred neoprávneným prístupom. Pozrime sa na štruktúru hlavných sprievodných dokumentov.

1. « Ochrana pred neoprávneným prístupom k informáciám. Pojmy a definície"- ustanovuje jednotnú terminologickú normu v oblasti ochrany výpočtovej techniky a automatizovaných systémov pred neoprávneným prístupom k informáciám, ktorá je povinná pre použitie vo všetkých typoch dokumentácie.

2. « Koncepcia ochrany počítačových zariadení a automatizovaných systémov pred neoprávneným prístupom k informáciám "- popisuje základné princípy, na ktorých je postavená problematika ochrany informácií pred neoprávneným prístupom a s čím súvisí bežný problém informačná bezpečnosť. Koncepcia odráža nasledovné otázky: definícia neoprávneného prístupu, základné princípy ochrany, model narušiteľa v automatizovaných systémoch, hlavné metódy neoprávneného prístupu, hlavné smery zabezpečenia ochrany, hlavné charakteristiky technických prostriedkov ochrany , klasifikácia automatizovaných systémov, organizácia práce na ochrane. Tento koncept je určený pre zákazníkov, vývojárov a používateľov výpočtovej techniky a automatizovaných systémov, ktorých hlavným účelom je: spracovanie, uchovávanie a prenos chránených informácií.

3. „Prostriedky ochrany informácií. Ochrana informácií v pokladniach a automatizovaných pokladničných systémoch. Klasifikácia registračných pokladníc, automatizovaných pokladničných systémov a požiadaviek na bezpečnosť informácií "- ustanovuje klasifikáciu registračných pokladníc, automatizovaných pokladničných systémov, informačných technológií a požiadavky na ochranu informácií súvisiacich so zdaňovaním. V súlade s týmto dokumentom sú 2 triedy registračných pokladníc, automatizované pokladničné systémy a informačné technológie... Prvá trieda zahŕňa systémy, ktoré spracúvajú informácie o hotovostnom obrate vo výške až 350 minimálnych miezd za deň, a druhá - vo výške viac ako 350 minimálnych miezd.

4. „Počítačové vybavenie. Ochrana pred neoprávneným prístupom k informáciám. Indikátory zabezpečenia proti neoprávnenému prístupu k informáciám "- upravuje požiadavky na bezpečnosť výpočtovej techniky pred neoprávneným prístupom, uplatňované na celosystémový softvér a operačné systémy... Existuje sedem tried zabezpečenia, ktoré sú rozdelené do štyroch skupín. Každá trieda obsahuje zoznam mechanizmov na ochranu informácií pred neoprávneným prístupom potrebných na implementáciu.

5. „Automatizované systémy. Ochrana pred neoprávneným prístupom k informáciám. Klasifikácia automatizovaných systémov a požiadavky na ochranu informácií "- klasifikuje automatizované systémy v závislosti od dostupnosti informácií rôzneho stupňa utajenia, úrovne oprávnenia subjektov prístupu, spôsobov spracovania údajov do deviatich tried a pre každú z nich stanovuje súbor požiadaviek. V závislosti od osobitostí spracovania informácií v automatizovaných systémoch sú triedy rozdelené do troch skupín.

6. „Počítačové vybavenie. Firewally. Ochrana pred neoprávneným prístupom k informáciám. Indikátory zabezpečenia proti neoprávnenému prístupu k informáciám "- deklaruje požiadavky na rôzne triedy firewallov. Celkovo existuje päť tried zabezpečenia brány firewall. Klasifikácia sa vykonáva v závislosti od bezpečnostnej triedy automatizovaných systémov, ktoré sú chránené firewallom.

Na základe smerníc a regulačného rámca FSTEC Ruska sa vykonáva vývoj, certifikácia a používanie prostriedkov na ochranu informácií pred neoprávneným prístupom, ako aj udeľovanie licencií podnikom na právo pôsobiť v oblasti ochrany informácií na území Ruskej federácie.

FSTEC Ruska vykonáva licencovanie technickej ochrany dôverných informácií. Na získanie licencie musí žiadateľ splniť nasledujúce požiadavky a podmienky:

1. prítomnosť v kolektíve špecialistov s vyšším odborným vzdelaním v odbore technickej ochrany informácií alebo vyšším alebo stredným odborným (technickým) vzdelaním a ktorí prešli rekvalifikáciou alebo zdokonaľovacím výcvikom v odbore technickej ochrany informácií;
2. žiadateľ o licenciu má priestory na vykonávanie licencovaných činností, ktoré spĺňajú technické normy a požiadavky na technickú ochranu informácií ustanovené regulačnými právnymi aktmi Ruskej federácie a ktoré mu patria na základe vlastníctva alebo na inom právnom základe;
3. dostupnosť, na akomkoľvek právnom základe, výrobných, testovacích a kontrolných a meracích zariadení, ktoré prešli metrologickým overením (kalibráciou), označením a certifikáciou v súlade s právnymi predpismi Ruskej federácie;
4. používanie automatizovaných systémov, ktoré spracúvajú dôverné informácie, ako aj prostriedkov na ochranu takýchto informácií, ktoré prešli postupom posudzovania zhody (certifikované a (alebo) certifikované bezpečnostné požiadavky informácie) v súlade s právnymi predpismi Ruskej federácie;
5. používanie programov pre elektronické počítače a databázy určené na realizáciu licencovaných činností na základe zmluvy s ich držiteľom autorských práv;
6. dostupnosť regulačných právnych aktov, regulačných a metodických a metodických dokumentov o technickej ochrane informácií v súlade so zoznamom vytvoreným Federálnou službou pre technickú a exportnú kontrolu

Na získanie licencie žiadateľ zašle na dokumenty FSTEC diskutované v predchádzajúcej časti tejto prednášky. Okrem týchto dokumentov musí žiadateľ poskytnúť:

1. kópie dokumentov potvrdzujúcich kvalifikáciu špecialistov informačnej bezpečnosti (diplomy, certifikáty, certifikáty);
2. kópie dokladov potvrdzujúcich vlastnícke právo, právo hospodárenia alebo prevádzkového riadenia k priestorom určeným na vykonávanie licencovaných činností, prípadne kópie zmlúv o nájme týchto priestorov alebo ich bezplatné užívanie;
3. kópie osvedčení o zhode chránených priestorov bezpečnostné požiadavky informácie;
4. kópie technického pasu automatizovaný systém s aplikáciami, akt klasifikácie automatizovaného systému podľa bezpečnostné požiadavky informácie, dispozičný plán hlavných a pomocných technických prostriedkov a systémov, osvedčenie o zhode automatizovaného systému bezpečnostné požiadavky informácie resp osvedčenie o zhode automatizovaný systém bezpečnostné požiadavky informácie, ako aj zoznam zdrojov chránených v automatizovaných systémoch s dokumentárnymi dôkazmi o stupni dôvernosti každého zdroja, popis technologický postup spracovanie informácií v automatizovanom systéme;
5. kópie dokumentov potvrdzujúcich právo používať počítačové programy a databázy na licencované činnosti;
6. informácie o dostupnosti výrobných a kontrolných zariadení, prostriedky ochrany informácií a finančné prostriedky bezpečnostná kontrola informácie potrebné na vykonávanie licencovaných činností s priložením kópií dokladov o overení kontrolnej a meracej techniky;
7. informácie o regulačných právnych aktoch, regulačných a metodických a metodických dokumentov o technickej ochrane informácií

FSTEC kontroluje úplnosť poskytnutých dokumentov, úplnosť a správnosť informácií v nich uvedených. Ak nie je dostatok informácií (dokumentov), ​​FSTEC o tom informuje žiadateľa do 15 dní. V lehote nepresahujúcej 45 dní po obdržaní dokumentov od žiadateľa, FSTEC rozhodne o vydaní licencie. Rozhodnutie je formalizované príslušným aktom FSTEC.

Licencia sa vydáva pre 5 rokov, pričom po uplynutí tejto lehoty ju možno na žiadosť držiteľa licencie predĺžiť.

4.3. Monitorovanie dodržiavania licenčných požiadaviek a podmienok

Funkciu monitorovania dodržiavania licenčných požiadaviek a podmienok držiteľom licencie vykonáva licenčný orgán, teda v prípade technickej ochrany dôverných informácií - FSTEC. Spôsob kontroly je plánované a neplánované kontroly, ktoré sa vykonávajú spôsobom stanoveným federálnym zákonom č. 294 „O ochrane práv právnických osôb a individuálnych podnikateľov pri výkone štátnej kontroly (dozoru) a obecnej kontroly“.

Účelom plánovanej kontroly je preveriť, či držiteľ licencie dodržiava licenčné požiadavky a podmienky v procese vykonávania činností na technickú ochranu dôverných informácií. Vo vzťahu k jednej právnickej osobe alebo fyzickej osobe podnikateľa možno vykonať najviac raz za tri roky. Plánované kontroly sa vykonávajú v súlade s ročným plánom kontrol, ktorý je zverejnený na oficiálnej webovej stránke FSTEC Ruska.

Držiteľ licencie je zaradený do plánovanej kontroly v prípade uplynutia troch rokov odo dňa:

• štátna registrácia držiteľa licencie;
• koniec poslednej plánovanej kontroly držiteľa licencie.

Držiteľ licencie je informovaný najneskôr tri pracovné dni pred inšpekciou.

Predmetom neplánovanej kontroly je dodržiavanie licenčných podmienok a podmienok držiteľom povolenia, dodržiavanie pokynov na odstránenie zistených priestupkov a opatrení na zaistenie bezpečnosti štátu.

Základom pre neplánovanú kontrolu je:

1. uplynutie lehoty na vykonanie predtým vydaného príkazu držiteľovi licencie na odstránenie zisteného porušenia licenčných požiadaviek a podmienok;
2. príjem žiadostí a žiadostí občanov, právnických osôb, individuálnych podnikateľov zo strany FSTEC Ruska, informácií od orgánov verejnej moci, miestnych orgánov, z médií o nasledujúcich skutočnostiach:
   • vznik hrozby poškodenia bezpečnosti štátu;
   • spôsobiť poškodenie bezpečnosti štátu.

Plánované a neplánované kontroly sa vykonávajú v listinnej forme alebo na mieste. Overenie dokladov kontroluje doklady držiteľa licencie a vykonáva sa na mieste FSTEC. Pri kontrole na mieste sa nekontrolujú len doklady držiteľa povolenia, ale aj jeho súlad s licenčnými požiadavkami a podmienkami.

Lehota na vykonanie každej z kontrol nemôže presiahnuť 20 pracovných dní. Na základe výsledkov kontroly sa v dvoch vyhotoveniach vypracuje akt, ku ktorému sa pripájajú protokoly (závery) z vykonaných štúdií (testov) a skúšok.

Ak to zhrnieme, môžeme povedať, že proces získania licencie pre technická ochrana dôverné informácie sú veľmi prácne, časovo náročné a, čo nie je nepodstatné, aj nákladné, pretože na získanie licencie je potrebné vyplniť všetky licenčné požiadavky a podmienky. Najdlhšie trvá príprava špecialistov v doškoľovacích kurzoch. Napriek tomu, že počet organizácií zaoberajúcich sa dôvernými informáciami je pomerne veľký, špecialisti s najvyšším odborné vzdelanie v oblasti VBI si nie každý z nich môže dovoliť. Súkromné ​​opakovacie kurzy schválené FSTEC sú zvyčajne navrhnuté na 72 hodín. Ekonomicky najnákladnejšou požiadavkou je certifikácia objektov informatizácie (automatizovaný systém a zabezpečená miestnosť) určených na spracovanie dôverných informácií. Navyše vzniká problém obstarania kontrolnej a meracej techniky, ktorá po certifikácii nie je vôbec potrebná, pokiaľ organizácia nebude poskytovať certifikačné služby pre objekty informatizácie. Alternatívna možnosť- prenajať si takéto zariadenie, ale aj to stojí peniaze. Trvanie licenčného procesu teda môže trvať 2 až 6 mesiacov a môže znamenať značné materiálne náklady. Outsourcing je riešením tohto problému. Outsourcing (z anglického outsourcing) doslova „používať externých zdrojov Outsourcing zahŕňa prevod z klientskej spoločnosti na organizáciu tretej strany (dodávateľa) určité funkcieštatutárne činnosti, napríklad technická ochrana dôverných informácií. Zhotoviteľ v tomto prípade používa svoje programové vybavenie, technické a iné prostriedky ochrany, licencie, certifikáty a pod., a zodpovedá aj za výsledok svojej práce.

Licencia FSTEC – špeciálne štátne povolenie, ktoré vám umožňuje vykonávať legitímne činnosti priamo súvisiace s tvorbou a používaním softvéru resp inovatívne technológie... Licencie sa vzťahujú na uchovávanie informačných údajov alebo vytváranie databáz na ich uchovávanie.

Licencia FSTEC v Moskve a v iných regiónoch Ruska so špecialistami z AP-Real Group of Companies - bezproblémové získanie licencie. Licencia na ochranu informácií – celý rad služieb v licencovaní FSTEC.

Licenčný orgán: Federálna služba pre technickú a exportnú kontrolu
Doba platnosti licencie: na dobu neurčitú.
Územie pôsobenia: Celé územie Ruskej federácie
Obdobie vydania licencie: 45 pracovných dní.

Cena licencie FSTEC (pomoc pri získaní): od 250 000 rubľov

Licencia FSTEC Ruska je dostupná pre žiadateľov z rôznych regiónov krajiny, ale licenčným orgánom je výlučne Federálna služba pre technickú a exportnú kontrolu so sídlom v meste Moskva. Doba platnosti úradného povolenia je definovaná ako neurčitá a geografia vplyvu je obmedzená oficiálnymi hranicami štátu.

Lehota, počas ktorej žiadateľ získa povolenia, je 45 dní odo dňa predloženia dokladov dozornému štátnemu orgánu.

Získanie rôznych typov licencií FSTEC

Licenčný proces môže prebiehať tromi spôsobmi:

1. Samoodvolanie. názov tadiaľto optimálne je ťažké. Neškolený uchádzač o zamestnanie má tendenciu prehliadať niekoľko kľúčových bodov, ktoré s tým súvisia požadovaný pohľad dokumentáciu a včasné školenie zamestnancov a manažéra. V tomto ohľade môže proces získavania povolení zabrať veľká kvantitačasu a v dôsledku toho znížiť potenciálny zisk podniku.
2. Čiastočný prevod právomoci na predlicenčné školenie pre špecialistov. Je koniec efektívna metóda absolvovanie licenčného konania. Špecialista dohliada na proces riadením vedúceho spoločnosti. Je však potrebné poznamenať, že v v tomto prípade, právna podpora nemôže byť úplná, a preto nemožno zaručiť ani výsledok.
3. Plná podpora procesu. Získanie licencie FSTEC za účasti špecialistov zaručuje úspešný výsledok. Disponujeme nielen kvalifikovanými odborníkmi so skúsenosťami v licenčných záležitostiach, ale aj potrebným technickým a regulačným právnym rámcom na zabezpečenie plného súladu žiadateľa s požiadavkami riadiaceho orgánu.

Celá škála služieb nám umožňuje nielen pomôcť podnikom získať licenciu potrebnú na ich činnosť, ale aj byť na ne pripravení možné kontroly počas plánovaných alebo neplánovaných kontrol.

Typy licencií FSTEC

ФЗ №99 zo dňa 4.05.11. „O udeľovaní licencií na určité druhy činností“ jasne upravuje zoznam odvetví, ktoré sú povinné pre udeľovanie licencií. V prvom rade je potrebné získať licenciu FSTEC:

• zúčastňovať sa vládnych tendrov;
• realizácia činností súvisiacich s vývojom a výrobou nástrojov na ochranu kryptografických informácií;
• realizácia aktivít súvisiacich s TZKI;
• pri spracúvaní osobných údajov.

Licencovanie FSTEC Ruska v odvetví TZKI je upravené vyhláškou vlády Ruskej federácie z 3. februára 2012 č. 79 "O licenčných činnostiach na technickú ochranu dôverných informácií." Doba platnosti je neobmedzená, ale podniky v rámci svojich činností musia byť pripravené potvrdiť požiadavky na držiteľov licencií.

Licencovanie v odvetví ochrany kryptografických informácií () sa riadi vyhláškou vlády Ruskej federácie z 3. marca 2012 č. 171 "O licenčných činnostiach na vývoj a výrobu prostriedkov na ochranu dôverných informácií." Oficiálny dokument definuje požiadavky na žiadateľov o túto licenciu.

Požiadavky na licenciu FSTEC v Moskve

Na to, aby žiadateľ dostal oficiálne povolenie na vykonávanie činností v odvetví, potrebuje listinné dôkazy o splnení týchto požiadaviek:

• Dostupnosť zamestnancov s vyššie vzdelanie v smere „Bezpečnosť informácií“. Je prípustné prilákať odborníkov so stredným odborným vzdelaním obdobného profilu za predpokladu, že prejdú odbornou rekvalifikáciou v rozsahu najmenej 360 akademických hodín (povinné je predložiť osvedčenie o úspešné ukončenieškolenie). Dôležité sú aj pracovné skúsenosti v oblasti informačnej bezpečnosti.
• Vlastníctvo alebo prenájom, podnájom (treba doložiť platnú nájomnú zmluvu) priestorov potrebných na realizáciu odborná činnosť... Pracovné oblasti musia byť v súlade s platnými vládnymi nariadeniami.
• Vlastnené alebo prenajaté (nutné predložiť platnú nájomnú zmluvu) potrebné vybavenie... Ku každej technickej jednotke musia byť priložené osvedčenia o overení a potrebné osvedčenia potvrdzujúce správnosť poskytnutých údajov.
• Dostupnosť aktuálneho softvéru potrebného na podnikanie v tomto odvetví.
• Dostupnosť normatívnych a metodických dokumentov s pečiatkou "DSP" a GOST.
• Dostupnosť certifikovaných priestorov a certifikovanej automatizovanej pracovnej stanice (AWS) v súlade s aktuálnymi požiadavkami

Licencia FSTEC zabezpečuje plnú zhodu držiteľa licencie a zaškolenie personálu na vykonávanie tejto činnosti.

Objednávka licenčného procesu

Licencia FSTEC Ruska s našou účasťou je, že naši špecialisti preberajú tieto povinnosti:

• príprava potrebnej dokumentácie a jej odovzdanie ustálený názor;
• držanie, ak je to potrebné;
• príprava a podanie žiadosti licenčnému orgánu (bez ohľadu na miesto žiadateľa);
• certifikácia priestorov a automatizovaných pracovísk;
• získanie listinných dôkazov o doručení dokumentov;
• vykonávanie postupov na odstránenie zverejnených nedostatkov a pripomienok, ak je to potrebné;
• získanie úradného povolenia (licencie) a jeho prevod na držiteľa licencie.

Niektoré typy licencií FSTEC vyžadujú licenciu FSB na prácu s informáciami, ktoré sú štátnym tajomstvom.

Uchádzačom garantujeme získanie licencie a úplný súlad podniku s požiadavkami štátu vo všetkých fázach jeho ďalšej podnikateľskej činnosti.

Účasť na výstavách a konferenciách v oblasti informačnej bezpečnosti

Špecialisti skupiny spoločností AP-Real sa pravidelne zúčastňujú tematických výstav a konferencií, a tak sú neustále v trende všetkých inovácií v oblasti informačnej bezpečnosti. Všetky získané skúsenosti sa vždy aplikujú v praxi. Naše rozsiahle skúsenosti umožňujú našim právnikom poskytovať kvalitné poradenstvo o tom, aké vybavenie by malo byť v organizácii zaoberajúcej sa ochranou údajov alebo vývojom nástrojov informačnej bezpečnosti.

Nedávno naši zamestnanci navštívili výstavu dňa ochranu informácií z "INTERPOLITEX - 2018". Organizátormi výstavy boli sily Ministerstva vnútra (MVD), Federálna služba bezpečnosť (FSB) a Rosgvardia. Fotoreportáž si môžete pozrieť na stránke.