Bilgi güvenliği lisansı. fstack lisans türleri. Bilgilerin teknik olarak korunması için Rusya'nın fsttec'inden bir lisans alınması

Bilgi koruma alanında lisanslama, bilgi koruma alanında çalışma yapma haklarının devredilmesini veya alınmasını içeren bir faaliyettir. Lisanslama alanında devlet politikası belirli türler faaliyetleri ve bireyin, toplumun ve devletin hayati menfaatlerinin korunmasının sağlanması Hükümet Kararnamesi ile belirlenir. Rusya Federasyonu 24 Aralık 1994 tarih ve 1418 No. .95 No. 1001, 04.22.97 tarih ve 462, 01.12.97 tarih ve 1513, ayrıca bkz. 11.02.02 tarih ve 135 sayılı karar).

Lisans, bilgi koruma alanında çalışma yapma hakkı için bir izindir. Belirli faaliyet türleri için üç yıl süreyle bir lisans verilir ve ardından lisans verilmesi için belirlenen prosedüre göre yeniden kaydedilir.

Lisans başvurusunda bulunan şirketin lisanslama koşullarına sahip olması durumunda bir lisans verilir: üretim ve test tesisleri, düzenleyici ve metodolojik belgeler ve bilimsel ve mühendislik personeli.

Bilgi koruma alanındaki işletmelerin devlet lisansı sisteminin organizasyon yapısı aşağıdakilerden oluşur:

· Lisanslama için devlet organları;

· Lisans merkezleri;

· İşletmeler-başvuranlar.

Devlet ruhsatlandırma makamları:

· İşletmelerin zorunlu devlet lisansını düzenlemek;

· Başvuran işletmelere devlet lisansları vermek;

· Lisans merkezleri tarafından temsil edilen uzman komisyonlarının oluşumu üzerinde anlaşmaya varmak;

· Bilgi koruma alanında lisans sahipleri tarafından yürütülen çalışmaların eksiksizliği ve kalitesi üzerinde kontrol ve denetim gerçekleştirin.

Lisans merkezleri:

· Uzman komisyonları oluşturun ve kompozisyonlarını onay için FSTEC ve FSB olan ilgili devlet ruhsatlandırma kurumlarının başkanlarına gönderin;

· Başvuran işletmelerin incelenmesine ilişkin çalışmaları planlamak ve yürütmek;

· Lisans sahipleri tarafından gerçekleştirilen işin eksiksizliğini ve kalitesini kontrol edin.

Lisans merkezleri devlet organları lisanslama konusunda bu organların başkanlarının emriyle oluşturulur. Uzman komisyonları, endüstrilerden uzmanlar, ilgili bilgi koruma alanında yetkin kuruluşlar arasından oluşturulur. hükümet kontrollü, diğer kurum ve kuruluşlar. Bir veya daha fazla bilgi koruma alanında uzman komisyonları oluşturulur.

Aşağıdakiler Rusya FSTEC tarafından lisanslamaya tabidir:

Sertifikasyon, korunanların sertifika testleri teknik araçlar bilgi işleme (BİT), teknik ve yazılım araçları koruma, bilgi koruma önlemlerinin etkinliği için kontrol araçları, yazılım işleme, koruma ve güvenlik kontrolü;

· Bilgi güvenliği ile ilgili rehberlik ve düzenleyici belgelerin gerekliliklerine uygunluk için bilgi sistemleri, otomatik kontrol sistemleri, iletişim ve veri iletim sistemleri, BT tesisleri ve tahsisli binaların sertifikalandırılması;

· Korunan bilişim nesnelerinin geliştirilmesi, üretimi, satışı, kurulumu, ayarlanması, kurulumu, onarımı, servis bakımı, teknik koruma ve bilgi koruma önlemlerinin etkinliğinin kontrolü, bilgi güvenliğinin işlenmesi, korunması ve kontrolü için korumalı yazılım araçları;

Tarafta özel çalışmalar yapılması Elektromanyetik radyasyon ve ihbar (PEMIN) TCOI;

· Korumalı bir tasarımda nesnelerin tasarımı.

Lisanslama makamı şunlardan sorumludur:

· Lisanslama konularına ilişkin kuralların, prosedürlerin ve düzenleyici ve metodolojik belgelerin geliştirilmesi;

· Lisanslama faaliyetlerinin bilimsel ve metodolojik yönetiminin uygulanması;

· Yayın gerekli bilgi lisanslama sistemi hakkında;

· Lisansların verilmesi için kuruluşların ve askeri birliklerin başvurularının değerlendirilmesi;

· İlgili bilgi koruma alanlarından sorumlu askeri birimlerle açıklamaların koordinasyonu;

· Uzman komisyonlarının oluşumunun koordinasyonu;

· Özel sınavların organizasyonu ve yürütülmesi;

· Lisans verilmesine karar verilmesi;

· Lisansların verilmesi;

· Ruhsatın askıya alınması, yenilenmesi veya iptali hakkında karar verilmesi;

· Verilen, askıya alınan, yenilenen ve iptal edilen lisansların kaydını tutmak;

· Lisans formlarının satın alınması, muhasebeleştirilmesi ve saklanması;

· Sertifikasyon merkezlerinin çalışmalarının organizasyonu;

· Lisans sahipleri tarafından yürütülen işin eksiksizliği ve kalitesi üzerinde kontrol.

17. madde uyarınca Federal yasa 08.08.2001 tarih ve 128-FZ sayılı "Belirli faaliyet türlerinin lisanslanması hakkında" (02.07.2005 tarih ve 80-FZ sayılı Federal Yasa ile değiştirildiği şekliyle) aşağıdaki faaliyet türleri (bilgi koruma alanında) tabidir: lisanslama:

· Şifreleme (kriptografik) araçlarının dağıtımı için faaliyetler;

· Faaliyetler bakımşifreleme (kriptografik) araçlar;

· Bilgi şifreleme alanında hizmetlerin sağlanması;

Şifreleme (kriptografik) araçlarının geliştirilmesi, üretimi, şifreleme (kriptografik) araçları kullanılarak korunmaktadır. bilgi sistemi, telekomünikasyon sistemleri;

Koruyucu ekipmanın geliştirilmesi ve (veya) üretimi için faaliyetler kesin bilgi; gizli bilgilerin teknik korunmasına ilişkin faaliyet;

Tanımlanacak faaliyetler elektronik aletler, tesislerde ve teknik araçlarda bilgilerin gizlice alınması için tasarlanmıştır (belirtilen faaliyet bir tüzel kişiliğin veya bireysel girişimcinin kendi ihtiyaçlarını karşılamak için gerçekleştirilmediği sürece).

Söz konusu faaliyetlerin bir parçası olarak, Rusya Federasyonu Hükümeti'nin lisans prosedürünü netleştiren ayrı kararnameleri yayınlandı. Aralarında:

· 26 Ocak 2006 tarih ve 45 sayılı Rusya Federasyonu Hükümeti Kararnamesi "Belirli faaliyet türlerinin ruhsatlandırılmasının organizasyonu hakkında"; 15 Ağustos 2006 tarih ve 504 sayılı Rusya Federasyonu Hükümeti Kararnamesi "Gizli bilgilerin teknik korunması için lisanslama faaliyetleri hakkında";

· 31 Ağustos 2006 tarih ve 532 sayılı Rusya Federasyonu Hükümeti Kararnamesi "Gizli bilgileri koruma araçlarının geliştirilmesi ve (veya) üretimi için lisanslama faaliyetleri hakkında";

· 23.09.2002 tarih ve 691 sayılı Rusya Federasyonu Hükümeti Kararnamesi "Şifreleme (kriptografik) araçlarla ilgili belirli türdeki faaliyetlerin lisanslanmasına ilişkin düzenlemelerin onaylanması üzerine".

Bu belgelere göre, lisans sahiplerinin lisansta belirtilen belirli faaliyet türleri için gerçekleştirilen iş sayısı hakkında lisans yetkilisine veya sertifika merkezine yıllık olarak bilgi vermeleri gerekmektedir. Lisans sahipleri, yapılan işin eksiksizliğinden ve kalitesinden, güvenliğinin sağlanmasından sorumludur. devlet sırları pratik faaliyetler sırasında onlara emanet edilmiştir.

İyi çalışmalarınızı bilgi tabanına gönderin basittir. Aşağıdaki formu kullanın

İyi iş siteye ">

Öğrenciler, yüksek lisans öğrencileri, bilgi tabanını çalışmalarında ve çalışmalarında kullanan genç bilim adamları size çok minnettar olacaktır.

Yayınlanan http://www.allbest.ru/

Rusya Federasyonu Ulaştırma Bakanlığı

Federal Demiryolu Taşımacılığı Ajansı Federal Devlet Bütçesi Eğitim kurumu yüksek mesleki eğitim

"Uzak Doğu Devlet Üniversitesi iletişim yolları"

Sivil, İş ve Ulaştırma Hukuku Bölümü

Disiplin: Yasal destek bilgi Güvenliği

Konu: Bilgi güvenliği alanında lisanslama ve sertifikalandırma

Tamamlanan öğrenci (tka)

Nepomniachtchi Natalya Evgenievna

Kontrol eden: bölüm öğretmeni:

Jeleznyakov Anatoly Mihayloviç.

Habarovsk

Tanıtım

1. Bilgi koruma alanında lisanslama

1.1 Lisanslama makamı - Rusya'nın FSTEC'i

1.2 Lisanslama makamı - Rusya FSB'si

2. Bilgi güvenliği alanında belgelendirme

2.1 Örgütsel yapı sertifika sistemleri

2.2 Sertifikasyon prosedürü

Çözüm

bibliyografya

Tanıtım

Rusya'da bilgi koruma alanındaki sorunlardan biri, resmi belgelerin eksikliğidir. ayrıntılı önerilerörneğin Amerikan Standart Teknolojiler Enstitüsü (ABD) tarafından geliştirilenlere benzer güvenli bilgi sistemlerinin inşası ve İngiliz standardı... Birleşik Krallık'ta devlet standartlarına uyumu gerektiren herhangi bir düzenleme bulunmamakla birlikte, Birleşik Krallık firma ve kuruluşlarının yaklaşık %60'ı gönüllü olarak geliştirilen standardı kullanmakta, geri kalanı ise yakın gelecekte tavsiyelerini hayata geçirmeyi amaçlamaktadır.

Bilgi güvenliği lisanslama ve sertifikalandırma bu sorunu azaltabilir. Kullanıcı için, kullandığı bilgi güvenliği araçlarının sağlayabileceği garantiler oluşturmak gereklidir. gereken seviye koruma. Yalnızca bu alandaki yüksek nitelikli uzmanların bilgi koruma sorunuyla ilgilenmesini ve yarattıkları ürünlerin uygun düzeyde olmasını ve sertifikayı geçebilmesini sağlamaya yardımcı olabilecek lisanslamadır.

Sertifikasyon olmadan, belirli bir ürünün, varlığı özellikle çoğu yabancı ürünün özelliği olan, potansiyel olarak zararlı belgelenmemiş yetenekler içerip içermediğini değerlendirmek imkansızdır. belirli bir an sistem arızalarına ve hatta geri dönüşü olmayan sonuçlara yol açar. Bunun tipik bir örneği belgesiz fırsatlar geliştirilmesinde Ericsson tarafından taahhüt edilmiştir. telefon santralleri, Rusya Federasyonu Demiryolları Bakanlığı'nın temelini oluşturduğu telefon ağı, belirli bir çağrı alırken çalışmalarını engelleme yeteneği telefon numarası, ki firma isim vermeyi reddediyor. Ve bu örnek tek değil.

Bir yazılım ürününün sertifikasyonu süreci, geliştirmesiyle yaklaşık olarak aynı zaman alır ve yorumlu programların kaynak kodları olmadan pratik olarak imkansızdır. Aynı zamanda, birçok yabancı şirket, ürünlerinin kaynak kodunu göndermek istemiyor. yazılım ürünleri Rus sertifikasyon merkezlerine. Örneğin, Microsoft'un 50'den fazla güvenlik hatasının tespit edildiği Rusya'da Windows NT'yi sertifikalandırmak için prensipte anlaşmasına rağmen, kaynak kodunun olmaması nedeniyle bu sorun aylarca ortadan kalkamadı.

Sertifikasyon ile ilgili zorluklar, aynı sınıftaki ürünler arasında en basit olanların sertifikayı diğerlerinden daha hızlı almasına neden olmakta ve bu da onları kullanıcıya daha güvenilir kılmaktadır. Uzun sertifikasyon süreleri, geliştiricinin pazara sunmak için zamanı olduğu gerçeğine yol açar. Yeni sürümürününüz ve süreç sonsuz hale gelir.

Teknik bilgi koruma araçlarının sertifikalandırılması, Rusya'da yaratılması en azından finansal kaynakların eksikliği nedeniyle engellenen uygun standartlar olmadan gerçekleştirilmesi zordur. Pazarlamayla ilgilenen birkaç firma ve uygun teknik araçları kullanmakla ilgilenen birkaç organizasyon varsa bu sorun çözülür. Örneğin, ortak çabaların meyvesi benzer kuruluşlar, firmalar ve FSTEC (eski adıyla Devlet Teknik Komisyonu (SCC)) Rusya Federasyonu Devlet Gümrük Komitesi'nin teknik materyali için Kılavuz İlkelerin geliştirilmesiydi "Araçlar bilgi işlem teknolojisi... Güvenlik duvarları. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı koruma göstergeleri. "Kurumsal ağların dış müdahalelerden korunmasını bir dereceye kadar sağlayabilen araçları sınıflandırmaya izin verdi.

Belge, birkaç sınıfın varlığını varsayar güvenlik duvarları: en basitinden, yalnızca bilgi akışlarını kontrol etmeye izin veren, en karmaşık olana kadar, gelen bilgilerin eksiksiz kod dönüştürmesini gerçekleştirerek, tamamen koruma Şirket ağı dış etkilerden. Zaten bugün, uygunluk sertifikası teknik özellikler Sun Screen, SKIPbridge ve Pandora gibi güvenlik duvarları, geçerli yasaların izin verdiği şekilde Teknik Yönergelere uygun olarak geliştirilen güvenlik duvarlarını geçmiştir. Ancak sertifikalarına rağmen bir mücadele vardı.

1. Bilgi koruma alanında lisanslama

1.1 Lisanslama makamı - Rusya'nın FSTEC'i

SZKI'nin (bundan böyle lisans olarak anılacaktır) geliştirilmesi ve üretimi için faaliyetlerde bulunmak üzere lisans başvurusunda bulunan bir kişi için lisans gereklilikleri şunlardır:

1.Lisans adayı, teknik bilgi güvenliği veya yüksek teknik veya orta mesleki (teknik) eğitim alanında yüksek mesleki eğitime sahip en az iki uzmana sahiptir ve bilgi güvenliği sistemlerinin geliştirilmesi ve (veya) üretimi konusunda yeniden eğitim veya ileri eğitim görmüş olmalıdır. ; kullanıcı koruma garanti uzmanı

2. OZI'deki teknik ve teknolojik belgelerin, ulusal standartların ve metodolojik belgelerin gerekliliklerini karşılayan ve mülkiyet temelinde veya başka bir şekilde lisans adayına ait olan lisanslı faaliyet türünün uygulanması için tesislerin mevcudiyeti yasal dayanak;

3. Lisanslı kontrol ve ölçüm ekipmanı faaliyetinin (Rusya Federasyonu metrolojik doğrulama (kalibrasyon) ve işaretleme mevzuatına uygun olarak kabul edilmiştir) uygulanması için gerekli mülkiyet hakkı veya başka bir yasal dayanağın varlığı, üretim ve test ekipmanı;

4. lisans adayının sahiplik temelinde veya diğer yasal temelde sahip olduğu elektronik bilgisayarlar ve veri tabanları için lisanslı faaliyet türünün (SZKI için yazılım geliştirme araçları dahil) uygulanmasına yönelik programların mevcudiyeti;

5. Mülkiyet veya diğer herhangi bir yasal dayanak temelinde başvuru sahibine ait lisansların, teknik ve teknolojik belgelerin, ulusal standartları içeren belgelerin ve listeye uygun olarak lisanslı faaliyet türünün uygulanması için gerekli metodolojik belgelerin varlığı Rusya FSTEC tarafından onaylandı;

6.SZKI'nin geliştirilmesi için sistemin kontrol edilmesi ve değerlendirilmesi için kurallar ve prosedürler dahil olmak üzere bir üretim kontrol sisteminin mevcudiyeti, tasarımda yapılan değişikliklerin muhasebeleştirilmesi ve tasarım belgeleri geliştirilmekte olan ürünler için

7. SZKI üretim sisteminin kontrol edilmesi ve değerlendirilmesi, ürünlerin kalitesinin değerlendirilmesi ve üretilen için teknik ve tasarım belgelerinde yapılan değişiklikleri dikkate alarak belirlenen parametrelerin değişmezliğini değerlendirmek için kurallar ve prosedürler dahil olmak üzere bir üretim kontrol sisteminin mevcudiyeti ürünler, muhasebe bitmiş ürün Kiyaev V., Granichin O. // Bilgi sistemlerinin güvenliği // Ulusal Açık Üniversite "INTUIT" * 2016 // s. 105-106

1.2 Lisanslama makamı - Rusya'nın FSB'si

Lisans adayı için lisans gereklilikleri şunlardır:

1 Aşağıdaki kalifiye personelin kadro tablosuna göre ana iş için lisans başvurusunda bulunan kişilerin durumu:

2. bir yönetici ve (veya) lisanslı bir faaliyet türü üzerinde çalışmayı yönetmeye yetkili, "Tüm Rusya Uzmanlık Sınıflandırıcısı" ve (veya) yeniden eğitime uygun olarak bilgi güvenliği alanında daha yüksek bir mesleki eğitime sahip bir kişi bu yönün özelliklerinden biri (normatif süre 500 ders saatinin üzerindedir) ve ayrıca lisanslı faaliyet türünde en az 5 yıllık iş tecrübesine sahip olanlar;

3. "Tüm Rusya Uzmanlık Sınıflandırıcısı" uyarınca bilgi güvenliği alanında yüksek mesleki eğitime sahip ve (veya) bu uzmanlık alanında yeniden eğitim almış mühendisler ve teknik işçiler (en az iki kişi) (standart süre 100 ders saatinden fazla);

4. Teknik ve teknolojik belgelerin, ulusal standartların ve RFI alanındaki metodolojik belgelerin gereksinimlerini karşılayan ve mülkiyet veya diğer yasal dayanak temelinde lisans adayına ait lisanslı faaliyet türünün uygulanması için tesislerin varlığı temel;

5. Başvuru sahibinin mülkiyet hakkı veya başka bir yasal dayanak, kontrol ve ölçüm ekipmanı (Rusya Federasyonu metrolojik doğrulama (kalibrasyon) ve etiketleme mevzuatına uygun olarak geçmiştir), üretim, test ekipmanı ve diğer nesneler üzerinde bir lisansa sahip olup olmadığı lisanslı faaliyet türünün uygulanması için gerekli;

6. Lisans adayının sahiplik temelinde veya diğer yasal temelde sahip olduğu elektronik bilgisayarlar ve veri tabanları için lisanslı faaliyet türünün (SZKI için yazılım geliştirme araçları dahil) uygulanmasına yönelik programların mevcudiyeti;

7. bilgi koruma gerekliliklerine uygun olarak SZKI'nin geliştirilmesi ve üretimi için kullanılan bilgi güvenliği gerekliliklerine göre onaylanmış bilgi işleme tesislerinin mevcudiyeti;

8. SZKI'nin geliştirilmesi için sistemin kontrol edilmesi ve değerlendirilmesi için kurallar ve prosedürler dahil olmak üzere bir üretim kontrol sisteminin mevcudiyeti, geliştirilmekte olan ürünler için tasarım ve yapım belgelerinde yapılan değişikliklerin muhasebeleştirilmesi

9. SZKI'nin üretim sisteminin kontrol edilmesi ve değerlendirilmesi, ürünlerin kalitesinin değerlendirilmesi ve belirlenen parametrelerin değişmezliği, teknik ve tasarım belgelerinde yapılan değişiklikleri dikkate alarak, kurallar ve prosedürler dahil olmak üzere bir üretim kontrol sisteminin mevcudiyeti; mamul ürünler, bitmiş ürünler için muhasebe Snytikov AA Bilgi güvenliği alanında lisanslama ve sertifikasyon.-M: Helios ARV, 2012 // s. 223-224

2. Bilgi Güvenliği Sertifikasyonu

2.1 Sertifikasyon sisteminin organizasyon yapısı

Sertifikasyon sisteminin organizasyon yapısı aşağıdakilerden oluşur:

1. Rusya Devlet Teknik Komisyonu (bilgi güvenliği araçlarının sertifikalandırılması için federal organ);

2. bilgi güvenliği araçları için sertifikasyon sisteminin merkezi organı;

3. bilgi güvenliği araçlarının belgelendirilmesi için kuruluşlar;

4. test merkezleri (laboratuvarlar);

5. Başvuru sahipleri (geliştiriciler, üreticiler, tedarikçiler, bilgi güvenliği ürünleri tüketicileri).

2 Rusya Devlet Teknik Komisyonu, yetkisi dahilinde aşağıdaki işlevleri yerine getirir:

1.Bilgi güvenliği araçlarının sertifikalandırılması için bir sistem oluşturur ve bu sistemdeki belirli bilgi güvenliği araçlarının sertifikalandırılması için kuralları belirler;

2. bilgi güvenliği araçları için sertifikasyon sisteminin işleyişini düzenler;

3.Bu sistemde zorunlu belgelendirmeye tabi bilgi güvenliği araçlarının listesini belirler;

4. Belgelendirme çalışmalarının yürütülmesi için akreditasyon ve lisans verilmesine ilişkin kuralları belirler;

5. bilgi güvenliği araçları için sertifikasyon sistemi için düzenleyici ve metodolojik belgelerin geliştirilmesini organize eder ve finanse eder;

6. Bilgi güvenliği araçları (gerekirse) için sertifikasyon sisteminin merkezi kuruluşunu belirler veya bu kuruluşun işlevlerini yerine getirir;

7. Sistemdeki bilgi güvenliği araçlarının sertifikalandırılmasının gerçekleştirildiği uygunluk için bilgi güvenliği ile ilgili normatif belgeleri ve sertifika testlerinin yapılması için metodolojik belgeleri onaylar;

8. belgelendirme kuruluşlarını ve test merkezlerini (laboratuvarları) akredite edin, onlara belirli iş türlerini yapma hakkı için lisans verin;

9. yol açar Devlet Sicili katılımcılar ve sertifika nesneleri;

10.Devlet kontrolü ve denetimini gerçekleştirir ve belgelendirme kurallarına uygunluk üzerinde denetim kontrolü prosedürünü oluşturur ve sertifikalı araçlar bilgi koruması;

11. sertifikasyon konularına ilişkin itirazları değerlendirir;

12. sunar devlet kaydı Gosstandart of Russia belgelendirme sistemi ve uygunluk işareti;

13. Belgelendirme ile ilgili bilgilerin periyodik olarak yayınlanmasını organize eder;

14. Belgelendirme konularında diğer ülke ve uluslararası kuruluşların ilgili yetkili organları ile etkileşimde bulunur, uluslararası ve yabancı belgelerin tanınmasına ilişkin karar alır;

15. uzmanların - denetçilerin eğitimini ve sertifikalandırmasını düzenler;

16. uygunluk işaretinin kullanımı için sertifikalar ve lisanslar verir;

17. verilen sertifikaları askıya alır veya iptal eder.

2.2 Sertifikasyon prosedürü

Sertifikasyon prosedürü aşağıdaki adımları içerir:

bilgi güvenliği araçlarının sertifikalandırılması için bir başvurunun dosyalanması ve değerlendirilmesi; sertifikalı bilgi güvenliği araçlarının test edilmesi ve bunların üretiminin sertifikalandırılması;

uygunluk işaretini kullanma hakkı için test sonuçlarının incelenmesi, yürütülmesi, tescili ve verilmesi, sertifika ve lisansın verilmesi;

devlet kontrol ve denetiminin uygulanması, zorunlu belgelendirme kurallarına uygunluk üzerinde denetim kontrolü ve belgelendirilmiş bilgi koruma araçları üzerinde.

bilgi güvenliği araçlarının sertifikalandırılmasının sonuçları hakkında bilgilendirme;

itirazların değerlendirilmesi.

Bilgi güvenliği ürünlerinin sertifikasyonu için bir başvurunun sunulması ve değerlendirilmesi.

Bir sertifika almak için, başvuru sahibi, sertifikasyon planının, standartların ve sertifikasyonun yapılması gereken gerekliliklerine uygunluk için diğer düzenleyici belgelerin bir göstergesi ile test edilmesi için Rusya Devlet Teknik Komisyonuna bir başvuru (Ek 1) gönderir.

Rusya Devlet Teknik Komisyonu, başvuruyu aldıktan sonraki bir ay içinde, başvuru sahibini, belgelendirme için belirlenen belgelendirme kuruluşuna ve test merkezine (laboratuvar) gönderir, belgelendirme kararı verir (Ek 2). Başvuru sahibinin talebi üzerine belgelendirme kuruluşu ve test merkezi (laboratuvar) değiştirilebilir.

Kararı aldıktan sonra, başvuru sahibi, bu araç için TU uyarınca belgelendirme kuruluşuna ve test merkezine (laboratuvar) bilgi güvenliği araçlarını ve ayrıca düzenleyici mevzuata uygun olarak bir dizi teknik ve operasyonel belgeyi sunmakla yükümlüdür. ESKD belgeleri, sertifikalı bilgi güvenliği aracı için ESPD.

Sertifikalı bilgi güvenliği araçlarının test merkezlerinde (laboratuvarlarda) test edilmesi.

Sertifikalı bilgi güvenliği araçlarının testleri, tasarımı, bileşimi ve üretim teknolojisi tüketiciye, müşteriye tedarik edilen numunelerle aynı olması gereken numuneler üzerinde, başvuru sahibi ve onaylanan programlara ve test yöntemlerine göre gerçekleştirilir. Belgelendirme kuruluşu. Seri bilgi güvenliği araçlarına ilişkin teknik ve operasyonel belgelerde (ESKD'ye göre) "O1" den küçük olmayan bir harf olmalıdır.

Numune sayısı, seçim ve tanımlama prosedürü, düzenleyici ve metodolojik belgelerin gerekliliklerine uygun olmalıdır. verilen görünüm bilgi güvenliği anlamına gelir.

Belgelendirme sırasında test merkezleri (laboratuvarlar) yoksa, belgelendirme kuruluşu, sonuçlarının tarafsızlığını sağlayarak test olasılığını, yerini ve koşullarını belirler.

Testlerin zamanlaması, başvuru sahibi ile test merkezi (laboratuvar) arasındaki bir anlaşma ile belirlenir.

Başvuru sahibinin talebi üzerine, temsilcilerine, test merkezinde (laboratuvar) bilgi güvenliği aracı örneklerinin saklanması ve test edilmesi koşullarını tanıma fırsatı verilmelidir. Kiyaev V., Granichin O. // Bilgi sistemlerinin güvenliği // Ulusal Açık Üniversite "INTUIT" * 2016 // s. 105-106

Test sonuçları, test merkezi (laboratuvar) tarafından sertifikasyon kuruluşuna ve bir kopyada - başvuru sahibine gönderilen protokollerde ve sonuçlarda belgelenir.

Bilgi güvenliği araçlarının tasarımında (bileşiminde) veya bilgi güvenliği araçlarının özelliklerini etkileyebilecek üretim teknolojisinde değişiklik yaparken, başvuru sahibi (geliştirici, üretici, tedarikçi) belgelendirme kuruluşunu bilgilendirir. İkincisi, bu bilgi güvenliği araçlarının yeni testlerinin gerekliliğine karar verir.

İthal edilen bilgi güvenliği araçlarının belgelendirilmesi, yerli olanlarla aynı kurallara göre gerçekleştirilir.

Çözüm

Dolayısıyla bu, üreticiden (satıcı) ve tüketiciden (alıcıdan) bağımsız bir kuruluşun onayladığı bir uygunluk doğrulama prosedürüdür. yazıürünlerin buluştuğu yerleşik gereksinimler... Bilgi güvenliği araçlarıyla ilgili olarak sertifikalandırma hakkında konuşursak, bu onların gereksinimlere uygunluğunu teyit etme faaliyetidir. teknik düzenlemeler, ulusal standartlar veya bilgi korumasına ilişkin diğer normatif belgeler.

Belgelendirme sisteminin kendisi, bilgi güvenliği araçları ve test laboratuvarları için akredite belgelendirme kuruluşlarına bağlı olan Rusya'nın FSTEC'i tarafından temsil edilmektedir.

Tüm sertifika sistemi, her şeyden önce, bilişim alanında ulusal güvenliğin sağlanmasını sağlar. Aynı derecede önemli olan, bilişim alanında birleşik bir bilimsel, teknik ve endüstriyel politikanın oluşturulması ve uygulanmasıdır. Korumalı ürünler için bir pazar oluşumunu teşvik etmenin yanı sıra Bilişim Teknolojileri ve bunların desteklenmesi, düzenlenmesi ve geliştirilmesinin kontrolü ve ayrıca bilgi güvenliği araçlarının müteakip üretimi, tüketicilere bilgi güvenliği araçlarının yetkin seçiminde yardım, yüklenicinin (satıcı, üretici) kötü niyetinden tüketicinin korunması, ürün kalite göstergelerinin teyidi.

Lisanslama - lisans verilmesi ile ilgili faaliyetler, lisansların mevcudiyetini teyit eden belgelerin yeniden düzenlenmesi, lisansların askıya alınması ve yenilenmesi, lisansların iptali ve lisanslı faaliyetlerin uygulanmasında lisans yetkililerinin riayetleri üzerindeki kontrolü ilgili lisans gereksinimleri ve koşulları.

Lisans - özel izin lisanslama makamı tarafından bir tüzel kişiliğe veya bireysel girişimciye verilen lisans gerekliliklerine ve koşullarına zorunlu olarak uyulmasına tabi olan belirli bir faaliyet türünü yürütmek.

Bilgi güvenliği alanındaki lisanslama faaliyetleri Rusya'nın FSB ve FSTEC tarafından yürütülmektedir. Gizli bilgilerin korunması alanındaki lisanslı faaliyetleri göz önünde bulundurun.

Rusya'nın FSB'si:

1. Gizli bilgileri koruma araçlarının geliştirilmesi ve (veya) üretimi (FSB'nin yetkisi dahilinde)

2. Bireysel girişimciler ve girişimci faaliyetlerde bulunan tüzel kişiler tarafından gizli bilgi alınmasına yönelik özel teknik araçların satışı amacıyla geliştirme, üretim, satış ve satın alma

3. Binalarda ve teknik araçlarda gizlice bilgi edinmeye yönelik elektronik cihazları belirleme faaliyeti (belirtilen faaliyet bir tüzel kişinin veya bireysel girişimcinin kendi ihtiyaçlarını karşılamak için gerçekleştirilmediği sürece)

4.Şifreleme (kriptografik) araçlarının dağıtımı için faaliyetler

5. Şifreleme (kriptografik) tesislerinin bakım faaliyetleri

6.Bilgi şifreleme alanında hizmet sağlanması

7. Bilgi sistemlerinin, telekomünikasyon sistemlerinin şifreleme (kriptografik) araçları kullanılarak korunan şifreleme (kriptografik) araçlarının geliştirilmesi, üretimi.

bibliyografya

1 . V. Kıyıev, O. Graniçin // Bilgi sistemlerinin güvenliği // Ulusal Açık Üniversite "INTUIT" * 2016 yılı // s. 105-106

2. Snytikov A.A. Bilgi güvenliği alanında lisanslama ve sertifikasyon.-M: Helios ARV, 2012 // s. 223-224

3. Bilgilerin kriptografik koruma araçlarının sertifikalandırılması sistemi: No. ROSS RU.0001.030001 tarih ve 15 Kasım 2012.

4.Bumazhkov A. Kirina A. Bilgi güvenliği alanında lisanslama ve sertifikalandırma

5. Bilgi güvenliği alanındaki terimler ve tanımlar Moskova, 2011

Allbest.ru'da yayınlandı

...

benzer belgeler

Temel prensipler, bilgi güvenliğini sağlamalı, düzenleyici çerçevesi. Rusya Federasyonu'nun bilgi koruma alanındaki faaliyetleri kontrol eden devlet organları, bu alandaki düzenleyici belgeler. Bilgi koruma yöntemleri.

özet eklendi 09.24.2014


Çözüm yolları ve yöntemleri farklı görevler bilgileri korumak, sızıntıyı önlemek, korunan bilgilerin güvenliğini sağlamak. Teknik (donanım), yazılım, organizasyonel, karma donanım ve yazılım bilgi güvenliği.

özet, 22/05/2010 eklendi


Rusya Federasyonu'nda bilgi güvenliğinin yasal ve düzenleyici desteği. Yasal bilgi rejimi. Rusya Federasyonu'nun bilgi güvenliğini sağlayan kuruluşlar. Kurumsal düzeyde bilgi güvenliğini organize eden hizmetler. Bilgi güvenliği standartları.

sunum eklendi 01/19/2014


Bilgiye yetkisiz erişimin ana yöntemleri bilgisayar sistemleri ve ondan korunma. Bilgi işleme süreçlerinin bilgi güvenliğini sağlamaya yönelik uluslararası ve yerel organizasyonel, yasal ve düzenleyici işlemler.

özet eklendi 04/09/2015


gibi bilgiler önemli bölüm modern iletişim sistemi. Yasal düzenleme bilgi güvenliği alanında. Bilgilerin korunmasını düzenleyen yasal ve düzenleyici belgeler. Devlet sırlarının korunmasının örgütsel ve yasal biçimleri.

test, 11/03/2009 eklendi


Küçük işletme gelişimi için öneriler. Mülkiyet haklarının korunması, piyasa kurumlarının geliştirilmesi. Vergiler ve yönetimi. Lisans ve yetkilendirme sistemi. Kontroller, para cezaları ve cezalar. Bilgiye erişim ve devletin açıklığı.

özet, 31/05/2009 eklendi


Çevre koruma ve doğal kaynakların kullanımı alanında lisanslamanın uygulanmasının amaçları. Lisans türlerinin listesi - bir tür kullanma hakkı veren belgeler doğal kaynak v kurulmuş yer ve belirli koşullar altında.

test, 19/12/2012 eklendi


Sivil bir kurum olarak lisanslama. hükümet programı Rusya'da devlet ve belediye işletmelerinin özelleştirilmesi. Federal Ulaştırma Denetleme Hizmetinin İşlevleri. İşletme lisansı.

Bilgi kavramı, bilgi kaynakları, modern hukuktaki yeri. ile bilgi işaretleri Sınırlı erişim... Devlet, resmi, mesleki sır oluşturan yasal koruma rejimi; üçüncü şahıslara erişilememesinin sağlanması.

özet eklendi 13/12/2013


Form olarak lisanslama devlet düzenlemesi... Bankaların ve banka dışı kredi ve finans kuruluşlarının faaliyetlerini lisanslama prosedürü. Binaların tasarımı ve inşası ve mühendislik araştırmaları için faaliyetlerin lisanslanması.

Bilgi koruma alanında lisanslama, bilgi koruma alanında çalışma yapma haklarının devredilmesini veya alınmasını içeren bir faaliyettir. Belirli faaliyet türlerinin lisanslanması ve bireyin, toplumun ve devletin hayati çıkarlarının korunmasının sağlanması alanındaki devlet politikası, 24 Aralık 1994 tarih ve 1418 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile belirlenir. belirli faaliyet türlerinin lisanslanması" (Rusya Federasyonu Hükümeti'nin 05.05.95 tarih ve 450, 03.06.95 tarih ve 549, 07.08.95 tarih ve 796, 12.10.95 tarih ve 1001 sayılı Kararları ile değiştirildiği şekliyle) , 22.04.97 tarih ve 462, 01.12.97 tarih ve 1513, ayrıca bkz. 11.02.02 tarih ve 135 sayılı karar).

Lisans, bilgi koruma alanında çalışma yapma hakkı için bir izindir. Belirli faaliyet türleri için üç yıl süreyle bir lisans verilir ve ardından lisans verilmesi için belirlenen prosedüre göre yeniden kaydedilir.

Lisans başvurusunda bulunan şirketin lisanslama koşullarına sahip olması durumunda bir lisans verilir: üretim ve test tesisleri, düzenleyici ve metodolojik belgeler ve bilimsel ve mühendislik personeli.

Bilgi koruma alanındaki işletmelerin devlet lisansı sisteminin organizasyon yapısı aşağıdakilerden oluşur:

· Lisanslama için devlet organları;

· Lisans merkezleri;

· İşletmeler-başvuranlar.

Devlet ruhsatlandırma makamları:

· İşletmelerin zorunlu devlet lisansını düzenlemek;

· Başvuran işletmelere devlet lisansları vermek;

· Lisans merkezleri tarafından temsil edilen uzman komisyonlarının oluşumu üzerinde anlaşmaya varmak;

· Bilgi koruma alanında lisans sahipleri tarafından yürütülen çalışmaların eksiksizliği ve kalitesi üzerinde kontrol ve denetim gerçekleştirin.

Lisans merkezleri:

· Uzman komisyonları oluşturun ve kompozisyonlarını onay için FSTEC ve FSB olan ilgili devlet ruhsatlandırma kurumlarının başkanlarına gönderin;

· Başvuran işletmelerin incelenmesine ilişkin çalışmaları planlamak ve yürütmek;

· Lisans sahipleri tarafından gerçekleştirilen işin eksiksizliğini ve kalitesini kontrol edin.

Devlet lisanslama organları altındaki lisans merkezleri, bu organların başkanlarının emriyle oluşturulur. Uzman komisyonları, ilgili bilgi koruma alanında yetkin endüstrilerden, devlet kurumlarından, diğer kurum ve kuruluşlardan uzmanlar arasından oluşturulur. Bir veya daha fazla bilgi koruma alanında uzman komisyonları oluşturulur.

Aşağıdakiler Rusya FSTEC tarafından lisanslamaya tabidir:

· Belgelendirme, güvenli teknik bilgi işleme araçlarının (BİT), donanım ve yazılım koruma araçlarının sertifika testi, bilgi koruma önlemlerinin etkinliğini izleme araçları, yazılım işleme, koruma ve güvenlik kontrolü;

· Bilgi güvenliği ile ilgili rehberlik ve düzenleyici belgelerin gerekliliklerine uygunluk için bilgi sistemleri, otomatik kontrol sistemleri, iletişim ve veri iletim sistemleri, BT tesisleri ve tahsisli binaların sertifikalandırılması;

· Korunan bilişim nesnelerinin geliştirilmesi, üretimi, satışı, kurulumu, ayarlanması, kurulumu, onarımı, servis bakımı, teknik koruma ve bilgi koruma önlemlerinin etkinliğinin kontrolü, bilgi güvenliğinin işlenmesi, korunması ve kontrolü için korumalı yazılım araçları;

· Yan elektromanyetik radyasyon ve girişim (PEMIN) TCOI için özel çalışmalar yapılması;

· Korumalı bir tasarımda nesnelerin tasarımı.

Lisanslama makamı şunlardan sorumludur:

· Lisanslama konularına ilişkin kuralların, prosedürlerin ve düzenleyici ve metodolojik belgelerin geliştirilmesi;

· Lisanslama faaliyetlerinin bilimsel ve metodolojik yönetiminin uygulanması;

· Lisanslama sistemi hakkında gerekli bilgilerin yayınlanması;

· Lisansların verilmesi için kuruluşların ve askeri birliklerin başvurularının değerlendirilmesi;

· İlgili bilgi koruma alanlarından sorumlu askeri birimlerle açıklamaların koordinasyonu;

· Uzman komisyonlarının oluşumunun koordinasyonu;

· Özel sınavların organizasyonu ve yürütülmesi;

· Lisans verilmesine karar verilmesi;

· Lisansların verilmesi;

· Ruhsatın askıya alınması, yenilenmesi veya iptali hakkında karar verilmesi;

· Verilen, askıya alınan, yenilenen ve iptal edilen lisansların kaydını tutmak;

· Lisans formlarının satın alınması, muhasebeleştirilmesi ve saklanması;

· Sertifikasyon merkezlerinin çalışmalarının organizasyonu;

· Lisans sahipleri tarafından yürütülen işin eksiksizliği ve kalitesi üzerinde kontrol.

08.08.2001 Sayılı 128-FZ sayılı "Belirli Faaliyet Türlerinin Lisanslandırılması Hakkında" Federal Kanunun 17. Maddesi uyarınca (02.07.2005 Sayılı 80-FZ Federal Yasası ile değiştirildiği şekliyle), aşağıdaki faaliyetler tabidir: lisanslamaya (bilgi koruma alanında):

· Şifreleme (kriptografik) araçlarının dağıtımı için faaliyetler;

· Şifreleme (kriptografik) araçlarının bakımına ilişkin faaliyet;

· Bilgi şifreleme alanında hizmetlerin sağlanması;

· Bilgi sistemlerinin, telekomünikasyon sistemlerinin şifreleme (kriptografik) araçları kullanılarak korunan şifreleme (kriptografik) araçlarının geliştirilmesi, üretimi;

· Gizli bilgileri koruma araçlarının geliştirilmesi ve (veya) üretimi için faaliyetler; gizli bilgilerin teknik korunmasına ilişkin faaliyet;

· Binalarda ve teknik araçlarda gizlice bilgi edinmek için tasarlanmış elektronik cihazları belirleme faaliyetleri (belirtilen faaliyet bir tüzel kişiliğin veya bireysel girişimcinin kendi ihtiyaçlarını karşılamak için gerçekleştirilmediği sürece).

Söz konusu faaliyetlerin bir parçası olarak, Rusya Federasyonu Hükümeti'nin lisans prosedürünü netleştiren ayrı kararnameleri yayınlandı. Aralarında:

· 26 Ocak 2006 tarih ve 45 sayılı Rusya Federasyonu Hükümeti Kararnamesi "Belirli faaliyet türlerinin ruhsatlandırılmasının organizasyonu hakkında"; 15 Ağustos 2006 tarih ve 504 sayılı Rusya Federasyonu Hükümeti Kararnamesi "Gizli bilgilerin teknik korunması için lisanslama faaliyetleri hakkında";

· 31 Ağustos 2006 tarih ve 532 sayılı Rusya Federasyonu Hükümeti Kararnamesi "Gizli bilgileri koruma araçlarının geliştirilmesi ve (veya) üretimi için lisanslama faaliyetleri hakkında";

· 23.09.2002 tarih ve 691 sayılı Rusya Federasyonu Hükümeti Kararnamesi "Şifreleme (kriptografik) araçlarla ilgili belirli türdeki faaliyetlerin lisanslanmasına ilişkin düzenlemelerin onaylanması üzerine".

Bu belgelere göre, lisans sahiplerinin lisansta belirtilen belirli faaliyet türleri için gerçekleştirilen iş sayısı hakkında lisans yetkilisine veya sertifika merkezine yıllık olarak bilgi vermeleri gerekmektedir. Lisans sahipleri, yaptıkları işin eksiksizliğinden ve kalitesinden, pratik faaliyetleri sırasında kendilerine emanet edilen devlet sırlarının güvenliğini sağlamaktan sorumludur.

Elektronik belge yönetimi (EDM) sistemlerinin normal çalışması için olası çakışmaları çözmek için prosedürler geliştirmek gerekir. Bu tür çatışmalarda, EDF katılımcıları ve sağlayıcı şirketin yanı sıra yazılım geliştirme şirketi de taraf olabilir.

Geliştiriciyle yapılan sözleşmenin, bir referans örneğinin mevcudiyetini dikkate aldığı varsayılmaktadır. yazılım, yalnızca sağlayıcı şirket veya tüm EDF katılımcıları tarafından saklanabilir. Bu, iki temel koşulun yerine getirilmesini gerektirir:

EDM sistemindeki her katılımcının (tedarikçi firma dahil) referans örneğe karşılık gelen yazılımı yüklediği belgelenmelidir;

referans örneklerinin saklanması, tarafların bilgisi olmadan yazılımın referans örneğinin değiştirilmesi olasılığını ortadan kaldıracak şekilde düzenlenir.

Böyle bir rejim, birkaç ortak anahtardan oluşan bir sistem tarafından sağlanabilir.

Modern bilgi teknolojilerinin toplumun tüm yaşam alanlarına ve faaliyetlerine yoğun bir şekilde dahil edildiği günümüzde, ulusal ve bunun bir parçası olarak devletin ekonomik güvenliği doğrudan bilgi güvenliğinin sağlanmasına bağlı olmaya başlamaktadır. Bu nedenle, bilgi koruma araçlarının gerekli istikrarını sağlamak için garantiler oluşturmak için devlet, bilgi koruma ve ilgili teknik araçların sertifikalandırılması ile ilgili kuruluşların faaliyetlerini lisanslama sorumluluğunu üstlenir.

Küresel ölçekte dış bilgi tehditlerine karşı günümüzün koruma düzeyi açık ağlar tatmin edici kabul edilemez: Rusya'da bu alanda hala kapsamlı ve teknik olarak sağlam bir strateji yoktur. Durumu değiştirmek için, Rusya'da bilgi güvenliğini sağlamak için mevzuat ve araçların standardizasyonu alanında bir dizi önlem acilen geliştirilmeli ve uygulanmalıdır. Bu yöndeki öncelikli görevler şunları içerir:

· Amerika Birleşik Devletleri'ndeki "Bilgisayar Güvenliği Yasası"na benzer özel bir yasanın kabul edilmesi, belirli devlet kurumlarını bilgi güvenliği alanındaki çalışmaların metodolojik desteğinden sorumlu kılmak;

· Çeşitli profiller, büyüklükler ve mülkiyet biçimlerindeki kuruluşlar için güvenliği sağlamaya yönelik birleşik yaklaşımların geliştirilmesi;

· Bilgi güvenliği sorunlarını çözmek için yeterli sayıda çeşitli sertifikalı araçların piyasada görünmesini sağlamak.

Rusya'daki bilgi güvenliği alanındaki sorunlardan biri, örneğin Amerikan Standart Teknolojiler Enstitüsü (ABD) ve İngiliz standardı tarafından geliştirilenlere benzer, güvenli bilgi sistemleri oluşturmak için ayrıntılı öneriler içeren resmi belgelerin eksikliğidir. Birleşik Krallık'ta devlet standartlarının karşılanmasını gerektiren herhangi bir düzenleme bulunmamakla birlikte, Birleşik Krallık firma ve kuruluşlarının yaklaşık %60'ı gönüllü olarak geliştirilen standardı kullanmakta, geri kalanı ise yakın gelecekte tavsiyelerini hayata geçirmeyi hedeflemektedir.

Bilgi güvenliği lisanslama ve sertifikalandırma bu sorunu azaltabilir. Kullanıcı için, kullandığı bilgi güvenliği araçlarının gerekli koruma seviyesini sağlayabileceğine dair garantiler oluşturmak gerekir. Yalnızca bu alandaki yüksek nitelikli uzmanların bilgi koruma sorunuyla ilgilenmesini ve yarattıkları ürünlerin uygun düzeyde olmasını ve sertifikayı geçebilmesini sağlamaya yardımcı olabilecek lisanslamadır.

Sertifikasyon olmadan, belirli bir aracın, varlığı özellikle çoğu yabancı ürünün özelliği olan ve bir noktada sistem arızalarına ve hatta bunun için geri döndürülemez sonuçlara yol açabilecek potansiyel olarak zararlı belgelenmemiş özellikler içerip içermediğini değerlendirmek imkansızdır. Bu tür belgelenmemiş yeteneklerin tipik bir örneği, Ericsson'un, RF Demiryolları Bakanlığı'nın temel aldığı telefon santrallerini geliştirirken, firmanın adını vermeyi reddettiği belirli bir telefon numarasına bir çağrı alındığında çalışmalarını engelleme yeteneğidir. telefon ağı. Ve bu örnek tek değil.

Bir yazılım ürününün sertifikasyonu süreci, geliştirmesiyle yaklaşık olarak aynı zaman alır ve yorumlu programların kaynak kodları olmadan pratik olarak imkansızdır. Aynı zamanda birçok yabancı firma, yazılım ürünlerinin kaynak kodlarını Rus sertifikasyon merkezlerine göndermek istemiyor. Örneğin, Microsoft'un 50'den fazla güvenlik hatasının tespit edildiği Rusya'da Windows NT'yi sertifikalandırmak için prensipte anlaşmasına rağmen, kaynak kodunun olmaması nedeniyle bu sorun aylarca ortadan kalkamadı.

Sertifikasyon ile ilgili zorluklar, aynı sınıftaki ürünler arasında en basit olanların sertifikayı diğerlerinden daha hızlı almasına neden olmakta ve bu da onları kullanıcıya daha güvenilir kılmaktadır. Uzun sertifikasyon süreleri, geliştirme şirketinin ürününün yeni bir versiyonunu piyasaya sürmek için zamana sahip olmasına ve sürecin sonsuz hale gelmesine yol açar.

Teknik bilgi koruma araçlarının sertifikalandırılması, Rusya'da yaratılması en azından finansal kaynakların eksikliği nedeniyle engellenen uygun standartlar olmadan gerçekleştirilmesi zordur. Pazarlamayla ilgilenen birkaç firma ve uygun teknik araçları kullanmakla ilgilenen birkaç organizasyon varsa bu sorun çözülür. Örneğin, bu tür kuruluşların, firmaların ve FSTEC'in (eski adıyla Devlet Teknik Komisyonu (STC)) ortak çabalarının meyvesi, Rusya Federasyonu Teknik Yönergeleri Devlet Gümrük Komitesinin "Bilgisayar tesisleri. Güvenlik duvarları. Yetkisiz erişime karşı koruma" Bilgiye yetkisiz erişime karşı koruma göstergeleri". Kurumsal ağları bir dereceye kadar dış müdahalelerden koruma yeteneğine sahip araçları sınıflandırmayı mümkün kıldı.

Belge, birkaç güvenlik duvarı sınıfının varlığını varsayar: yalnızca bilgi akışları üzerinde kontrole izin veren en basitinden, en karmaşık olana kadar, gelen bilgilerin eksiksiz kod dönüştürmesini gerçekleştirerek, şirket ağını dış etkilerden tamamen korur. Halihazırda Sun Screen, SKIPbridge ve Pandora gibi güvenlik duvarları, geçerli yasaların izin verdiği şekilde Teknik Yönergelere uygunluk sertifikasını geçmiştir. Ancak sertifikalarına rağmen bir mücadele vardı.

Bilgi güvenliği ve bilgi koruma alanındaki dünya uygulamalarının gereklilikleri dikkate alındığında, Rusya'nın yerleşik uluslararası standardizasyon ve bilgi teknolojilerinin sertifikasyonu sistemlerine katılması, pratikte şu anlama gelir:

· Ulusal ve sektör standartlarını uluslararası standartlarla uyumlu hale getirmek;

· Rus temsilcilerinin uluslararası sertifikasyon sistemlerine katılımı (sertifika testleri dahil);

· Rusya'da uluslararası sertifikaları tanıma imkanı.

Ayrıca, mevcut mevzuata göre, kişisel verileri toplayan ve işleyen (örneğin plastik kartlarla yapılan işlemler) herhangi bir kuruluşun bu tür faaliyetlerde bulunma yetkisine sahip olması ve bunun için sertifikalı araçlar kullanması gerekir.

Rusya FSTEC (eski adıyla Devlet Teknik Komisyonu), bilgileri yetkisiz erişimden korumak için gerekli düzenleyici çerçeveyi geliştirmiştir. Ana yol gösterici belgelerin yapısını ele alalım.

1. « Bilgiye yetkisiz erişime karşı koruma. Terimler ve tanımlar"- bilgisayar teknolojisinin ve otomatik sistemlerin bilgiye yetkisiz erişimden korunması alanında, her tür belgede kullanılması zorunlu olan birleşik bir terminolojik standart oluşturur.

2. « Bilgisayar ekipmanını ve otomatik sistemleri bilgiye yetkisiz erişimden koruma kavramı "- bilgileri yetkisiz erişimden koruma sorununun dayandığı temel ilkeleri ve bununla ilişkisini açıklar. ortak sorun bilgi Güvenliği. Konsept aşağıdaki konuları yansıtır: yetkisiz erişimin tanımı, temel koruma ilkeleri, otomatik sistemlerde izinsiz giriş modeli, yetkisiz erişimin ana yöntemleri, ana koruma alanları, teknik koruma araçlarının ana özellikleri, otomatik sistemlerin sınıflandırılması, koruma çalışmalarının organizasyonu. Bu konsept, temel amacı korunan bilgilerin işlenmesi, depolanması ve iletilmesi olan bilgisayar teknolojisi ve otomatik sistemlerin müşterileri, geliştiricileri ve kullanıcıları için tasarlanmıştır.

3. "Bilgi koruma araçları. Yazar kasalarda ve otomatik yazar kasa sistemlerinde bilgi koruması. Yazar kasaların sınıflandırılması, otomatik nakit sistemleri ve bilgi güvenliği gereksinimleri "- yazar kasaların sınıflandırılmasını, otomatik nakit sistemlerini, bilgi teknolojisini ve vergilendirme ile ilgili bilgilerin korunması için gereklilikleri belirler. Bu belgeye göre 2 sınıf yazar kasa, otomatik kasa sistemleri ve bilgi Teknolojisi... Birinci sınıf, günlük 350'ye kadar asgari ücret tutarında nakit cirosu ve ikincisi - 350'den fazla asgari ücret tutarında bilgi işleyen sistemleri içerir.

4. “Bilgisayar olanakları. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri "- sistem genelindeki yazılımlara uygulanan bilgi işlem ekipmanının yetkisiz erişime karşı güvenliği için gereksinimleri düzenler ve işletim sistemleri... Dört gruba ayrılan yedi güvenlik sınıfı vardır. Her sınıf, uygulama için gerekli olan bilgileri yetkisiz erişimden korumaya yönelik mekanizmaların bir listesini içerir.

5. “Otomatik sistemler. Bilgiye yetkisiz erişime karşı koruma. Otomatik sistemlerin sınıflandırılması ve bilgi koruması için gereksinimler "- çeşitli gizlilik seviyelerindeki bilgilerin mevcudiyetine, erişim konularının yetki seviyelerine, veri işleme modlarına bağlı olarak otomatik sistemleri dokuz sınıfta sınıflandırır ve her biri için bir dizi gereksinim belirler. Otomatik sistemlerde bilgi işlemenin özelliklerine bağlı olarak, sınıflar üç gruba ayrılır.

6. “Bilgisayar olanakları. Güvenlik duvarları. Bilgiye yetkisiz erişime karşı koruma. Bilgiye yetkisiz erişime karşı güvenlik göstergeleri "- farklı güvenlik duvarı sınıfları için gereksinimleri bildirir. Toplamda, beş güvenlik duvarı güvenliği sınıfı vardır. Güvenlik duvarı tarafından korunan otomatik sistemlerin güvenlik sınıfına göre sınıflandırma yapılır.

Rusya FSTEC'in yönergelerine ve düzenleyici çerçevesine dayanarak, bilgi koruma araçlarının yetkisiz erişime karşı geliştirilmesi, sertifikalandırılması ve kullanılması ile işletmelerin bilgi koruma alanında faaliyet gösterme hakkı için lisanslanması gerçekleştirilir. Rusya Federasyonu toprakları.

Rusya'nın FSTEC'i, gizli bilgilerin teknik olarak korunması için lisans vermektedir. Bir lisans almak için, başvuru sahibinin aşağıdaki gereksinimleri ve koşulları karşılaması gerekir:

1. bilginin teknik korunması veya yüksek veya orta mesleki (teknik) eğitim alanında yüksek mesleki eğitime sahip ve bilginin teknik korunması alanında yeniden eğitim veya ileri eğitim almış uzmanların kadrosunda bulunması;
2. lisans adayının, Rusya Federasyonu'nun düzenleyici yasal düzenlemeleri tarafından oluşturulan ve mülkiyet temelinde veya diğer yasal temelde kendisine ait olan bilgilerin teknik korunması için teknik standartları ve gereklilikleri karşılayan lisanslı faaliyetleri yürütmek için tesislerine sahip olması;
3. Rusya Federasyonu mevzuatına göre metrolojik doğrulama (kalibrasyon), işaretleme ve sertifikasyondan geçen üretim, test ve kontrol ve ölçüm ekipmanlarının herhangi bir yasal temelde mevcudiyeti;
4. gizli bilgileri işleyen otomatik sistemlerin kullanımı ve ayrıca uygunluk değerlendirme prosedürünü geçen (belgelenmiş ve (veya) tarafından onaylanmış) bu tür bilgileri koruma araçları. güvenlik gereksinimleri bilgi) Rusya Federasyonu mevzuatına uygun olarak;
5. telif hakkı sahibiyle yapılan bir anlaşma temelinde lisanslı faaliyetlerin uygulanmasına yönelik elektronik bilgisayarlar ve veri tabanları için programların kullanılması;
6. Federal Teknik ve İhracat Kontrolü Servisi tarafından oluşturulan listeye uygun olarak bilgilerin teknik korunmasına ilişkin düzenleyici yasal düzenlemelerin, düzenleyici ve metodolojik ve metodolojik belgelerin mevcudiyeti

Bir lisans almak için, başvuru sahibi FSTEC belgeleri bu dersin önceki bölümünde tartışılmıştır. Bu belgelere ek olarak, başvuru sahibi aşağıdakileri sağlamalıdır:

1. bilgi güvenliği uzmanlarının niteliklerini doğrulayan belgelerin kopyaları (diplomalar, sertifikalar, sertifikalar);
2. lisanslı faaliyetlerin uygulanmasına yönelik tesislere mülkiyet hakkını, ekonomik yönetim veya operasyonel yönetim hakkını onaylayan belgelerin kopyaları veya bu tesisler için kira sözleşmelerinin kopyaları veya bunların ücretsiz kullanımı;
3. korunan binaların uygunluk sertifikalarının kopyaları güvenlik gereksinimleri bilgi;
4. teknik pasaportun kopyaları otomatik sistem uygulamalarla, otomatik sistemin sınıflandırılması eylemi güvenlik gereksinimleri bilgi, ana ve yardımcı teknik araç ve sistemlerin yerleşim planı, otomatik sistemin uygunluk belgesi güvenlik gereksinimleri bilgi veya Uygunluk belgesi otomatik sistem güvenlik gereksinimleri bilgilerin yanı sıra otomatik sistemlerde korunan kaynakların bir listesi, her kaynağın gizlilik derecesinin belgesel kanıtı, bir açıklama teknolojik süreç otomatik bir sistemde bilgi işleme;
5. lisanslı faaliyetler için bilgisayar programlarını ve veritabanlarını kullanma hakkını onaylayan belgelerin kopyaları;
6. üretim ve kontrol ekipmanlarının mevcudiyeti hakkında bilgi, bilgi koruma araçları ve fonlar güvenlik kontrolü kontrol ve ölçüm ekipmanının doğrulanmasına ilişkin belgelerin kopyalarının eklenmesiyle birlikte lisanslı faaliyetlerin uygulanması için gerekli bilgiler;
7. düzenleyici yasal işlemler hakkında bilgi, düzenleyici ve metodolojik ve metodolojik belgeler bilgilerin teknik korunması hakkında

FSTEC, sağlanan belgelerin eksiksizliğini, bunlarda belirtilen bilgilerin eksiksizliğini ve doğruluğunu kontrol eder. Yeterli bilgi (belge) yoksa, FSTEC bunu başvuru sahibine 15 gün içinde bildirir. aşmayan bir süre içinde 45 FSTEC, başvuru sahibinden belgeleri aldıktan sonra bir lisans vermeye karar verir. Karar, FSTEC'in ilgili yasası ile resmileştirilir.

Lisans için verilir 5 yıl, ve bu sürenin bitiminden sonra lisans sahibinin talebi üzerine uzatılabilir.

4.3. Lisans gereksinimlerine ve koşullarına uygunluğun izlenmesi

Lisans sahibinin lisans gerekliliklerine ve koşullarına uygunluğunu izleme işlevi, lisans veren makam tarafından, yani gizli bilgilerin teknik olarak korunması durumunda - FSTEC tarafından gerçekleştirilir. Kontrol yöntemi planlanmış ve planlanmamış denetimler, 294 sayılı Federal Kanun tarafından öngörülen şekilde gerçekleştirilir "Hakların korunması hakkında tüzel kişiler ve bireysel girişimciler devlet kontrolünü (denetim) ve belediye kontrolünü uygularken ".

Planlı denetimin amacı, lisans sahibinin gizli bilgilerin teknik korunmasına yönelik faaliyetlerin yürütülmesi sürecinde lisanslama gerekliliklerine ve koşullarına uyduğunu doğrulamaktır. Bir tüzel kişilik veya bireysel girişimci ile ilgili olarak, üç yıl içinde bir defadan fazla gerçekleştirilemez. Planlı denetimler, Rusya FSTEC'in resmi web sitesinde yayınlanan yıllık denetim planına uygun olarak gerçekleştirilir.

Lisans sahibi, aşağıdaki tarihten itibaren üç yıllık bir sürenin sona ermesi durumunda planlı denetime dahil edilir:

• lisans sahibinin devlet kaydı;
• lisans sahibinin son programlı denetiminin sonu.

Lisans sahibine denetimden en geç üç iş günü önce bilgi verilir.

Plansız denetimin konusu, lisans sahibinin lisanslama gerekliliklerine ve koşullarına uyması, tespit edilen ihlallerin ortadan kaldırılmasına yönelik talimatlara uyması ve devletin güvenliğini sağlamaya yönelik tedbirlerdir.

Planlanmamış bir denetimin temeli:

1. lisans gerekliliklerinin ve koşullarının ifşa edilen ihlalini ortadan kaldırmak için daha önce lisans alana verilen bir emrin yerine getirilmesi için sürenin sona ermesi;
2. Rusya FSTEC tarafından vatandaşların, tüzel kişilerin, bireysel girişimcilerin başvurularının ve başvurularının, kamu makamlarından, yerel makamlardan ve medyadan aşağıdaki gerçekler hakkında bilgi alınması:
   • devletin güvenliğine zarar verme tehdidinin ortaya çıkması;
   • devletin güvenliğine zarar verir.

Planlı ve plansız denetimler belgesel veya yerinde formlarda gerçekleştirilir. Belgesel doğrulama, lisans sahibinin belgelerini kontrol eder ve FSTEC'in bulunduğu yerde gerçekleştirilir. Yerinde inceleme sırasında, sadece ruhsat sahibinin belgeleri değil, ruhsat şartlarına ve şartlarına uygunluğu da kontrol edilir.

Kontrollerin her birinin gerçekleştirilme süresi 20 iş gününü aşamaz. Kontrolün sonuçlarına dayanarak, çalışmaların (testlerin) ve yapılan muayenelerin protokollerinin (sonuçlarının) eklendiği iki nüsha halinde bir kanun düzenlenir.

Özetle şunu söyleyebiliriz ki lisans alma süreci teknik koruma gizli bilgiler çok zahmetli, zaman alıcı ve önemsiz olmayan, maliyetlidir, çünkü bir lisans almak için tüm bilgilerin tamamlanması gerekir. lisans gereksinimleri ve koşullar. En uzun süre, tazeleme kurslarında uzmanların eğitimidir. Gizli bilgilerle uğraşan kuruluşların sayısı oldukça fazla olmasına rağmen, en yüksek mesleki Eğitim VBI alanında, her biri karşılayamaz. FSTEC tarafından onaylanan özel tazeleme kursları genellikle 72 saat için tasarlanmıştır. Ekonomik açıdan en maliyetli gereklilik, gizli bilgilerin işlenmesine yönelik bilgilendirme nesnelerinin (otomatik bir sistem ve güvenli bir oda) sertifikalandırılmasıdır. Ayrıca, kuruluş bilişim nesneleri için belgelendirme hizmetleri sunmayacaksa, belgelendirmeden sonra hiç ihtiyaç duyulmayan kontrol ve ölçüm ekipmanı edinme sorunu ortaya çıkar. Alternatif seçenek- bu tür ekipmanı kiralamak, ancak aynı zamanda paraya da mal olur. Bu nedenle, lisanslama sürecinin süresi 2 ila 6 ay arasında sürebilir ve önemli malzeme maliyetleri gerektirebilir. Dış kaynak kullanımı bu soruna bir çözümdür. Dış kaynak kullanımı (İngilizce dış kaynak kullanımından) kelimenin tam anlamıyla "kullanın dış kaynaklar". Dış kaynak kullanımı, müşteri şirketten bir üçüncü taraf kuruluşa (yüklenici) aktarımı içerir. belirli işlevler yasal faaliyetler, örneğin gizli bilgilerin teknik olarak korunması. Bu durumda yüklenici kendi yazılımını, teknik ve diğer koruma araçlarını, lisanslarını, sertifikalarını vb. kullanır ve yaptığı işin sonucundan da sorumludur.

FSTEC lisansı - doğrudan yazılım oluşturma ve kullanma ile ilgili meşru faaliyetler yürütmenize izin veren özel bir devlet izni veya yenilikçi teknolojiler... Lisanslar, bilgi verilerinin depolanması veya bunların saklanması için veri tabanlarının oluşturulması için geçerlidir.

AP-Real Şirketler Grubu uzmanlarıyla Moskova'da ve Rusya'nın diğer bölgelerinde FSTEC lisansı - sorunsuz lisans alma. Bilgi koruma lisansı - FSTEC'in lisanslanmasında eksiksiz bir hizmet yelpazesi.

Lisans yetkisi: Teknik ve İhracat Kontrolü Federal Servisi
Lisans geçerlilik süresi: süresiz olarak.
Eylem bölgesi: Rusya Federasyonu'nun tüm bölgesi
Lisans verme süresi: 45 iş günü.

FSTEC lisans fiyatı (almada yardım): 250.000 ruble'den

FSTEC of Russia lisansı, ülkenin çeşitli bölgelerinden başvuranlar için mevcuttur, ancak lisanslama makamı yalnızca Moskova şehrinde bulunan Federal Teknik ve İhracat Kontrolü Servisi'dir. Resmi iznin geçerlilik süresi belirsiz olarak tanımlanır ve etki coğrafyası devletin resmi sınırları ile sınırlıdır.

Başvuru sahibinin izinleri aldığı süre, belgelerin denetleyici devlet makamına sunulmasından itibaren 45 gündür.

Çeşitli FSTEC lisanslarının alınması

Lisanslama süreci üç şekilde ilerleyebilir:

1. Kendi kendine temyiz. İsim Bu taraftan optimal zordur. Eğitimsiz bir iş arayan, iş ile ilgili bir dizi kilit noktayı gözden kaçırma eğilimindedir. gerekli görünümçalışanların ve yöneticinin dokümantasyonu ve zamanında eğitimi. Bu bağlamda, izin alma süreci ortadan kalkabilir. büyük miktar zaman ve sonuç olarak, işletmenin potansiyel kârını azaltır.
2. Kısmi aktarım uzmanlar için ön lisans eğitimi için yetkiler. Bitti etkili yöntem lisans prosedürünü geçmek. Uzman, şirketin başkanını yönlendirerek süreci denetler. Ancak şunu belirtmekte fayda var. bu durumda, hukuki destek tam olamaz ve buna bağlı olarak sonucun garantisi de olamaz.
3. Sürece tam destek. Uzmanların katılımıyla bir FSTEC lisansı almak, başarılı bir sonucu garanti eder. Yalnızca lisanslama işlerinde deneyimli kalifiye uzmanlara değil, aynı zamanda başvuru sahibinin kontrol makamının gerekliliklerine tam olarak uymasını sağlamak için gerekli teknik ve düzenleyici yasal çerçeveye de sahibiz.

Eksiksiz hizmet yelpazesi, yalnızca işletmelerin faaliyetleri için gerekli lisansı almalarına yardımcı olmakla kalmaz, aynı zamanda olası kontroller planlanmış veya planlanmamış denetimler sırasında.

FSTEC lisans türleri

ФЗ №99 tarihli 4.05.11. "Belirli Faaliyet Türlerinin Lisanslanması Hakkında", lisans verilmesi zorunlu olan sektörlerin listesini açıkça düzenlemektedir. Her şeyden önce, bir FSTEC lisansı almak gereklidir:

• devlet ihalelerine katılmak;
• kriptografik bilgi koruma araçlarının geliştirilmesi ve üretimi ile ilgili faaliyetlerin uygulanması;
• TZKI ile ilgili faaliyetlerin uygulanması;
• kişisel verileri işlerken.

Rusya'nın FSTEC'inin TZKI endüstrisinde lisanslanması, Rusya Federasyonu Hükümeti'nin 3 Şubat 2012 Sayılı 79 "Gizli bilgilerin teknik korunmasına yönelik lisanslama faaliyetleri hakkında" Kararnamesi ile düzenlenmiştir. Geçerlilik süresi sınırsızdır, ancak faaliyetlerini yürütürken işletmeler, lisans sahipleri için gereklilikleri onaylamaya hazır olmalıdır.

Kriptografik bilgi koruma endüstrisindeki () lisanslama, Rusya Federasyonu Hükümeti'nin 3 Mart 2012 tarih ve 171 sayılı "Gizli bilgileri koruma araçlarının geliştirilmesi ve üretilmesi için lisanslama faaliyetleri hakkında" Kararnamesi ile kontrol edilir. Resmi belge, bu lisans için başvuranlar için gereksinimleri tanımlar.

Moskova'da bir FSTEC lisansı için gereksinimler

Başvuru sahibinin sektörde faaliyet göstermek üzere resmi izin alabilmesi için, aşağıdaki gerekliliklere uygunluğuna dair belgesel kanıta ihtiyacı vardır:

• ile çalışanların mevcudiyeti Yüksek öğretim"Bilgi Güvenliği" doğrultusunda. En az 360 akademik saat süren profesyonel yeniden eğitimden geçmeleri koşuluyla, benzer bir profile sahip ikinci bir teknik eğitime sahip uzmanları çekmek mümkündür (bir sertifika sunmak zorunludur). başarılı tamamlama Eğitim). Bilgi güvenliği alanında iş tecrübesine sahip olmak da önemlidir.
• Uygulama için gerekli olan mülkün mülkiyeti veya kiralanması, alt kiralaması (geçerli bir kira sözleşmesi sağlanmalıdır) profesyonel aktivite... Çalışma alanları geçerli hükümet düzenlemelerine uygun olmalıdır.
• Sahip olunan veya kiralanan (geçerli bir kira sözleşmesi sunmalıdır) gerekli ekipman... Her teknik birime, doğrulama sertifikaları ve sağlanan verilerin doğruluğunu teyit eden gerekli sertifikalar eşlik etmelidir.
• Sektörde iş yapmak için gerekli olan güncel yazılımların mevcudiyeti.
• "DSP" ve GOST damgalı normatif ve metodolojik belgelerin mevcudiyeti.
• Geçerli gereksinimlere uygun olarak sertifikalı bir tesisin ve sertifikalı bir otomatik iş istasyonunun (AWS) mevcudiyeti

FSTEC lisansı, lisans sahibinin tam uyumunu ve bu faaliyetin uygulanması için personelin eğitimini sağlar.

Lisanslama işlemi sırası

Katılımımızla birlikte Rusya FSTEC lisansı, uzmanlarımızın aşağıdaki yükümlülükleri üstlenmesidir:

• gerekli evrakların hazırlanması ve ulaştırılması yerleşik görüş;
• gerekirse tutmak;
• bir başvurunun lisans makamına hazırlanması ve sunulması (başvuranın bulunduğu yere bakılmaksızın);
• binaların ve otomatikleştirilmiş işyerinin sertifikasyonu;
• belgelerin teslim edildiğine dair belgesel kanıt elde etmek;
• gerekirse yayınlanan eksiklikleri ve yorumları ortadan kaldırmak için prosedürlerin gerçekleştirilmesi;
• resmi izin (lisans) alınması ve lisans alana devredilmesi.

Bazı FSTEC lisansı türleri, devlet sırrı olan bilgilerle çalışmak için bir FSB lisansı gerektirir.

Başvuru sahiplerine, girişimcilik faaliyetinin tüm aşamalarında bir lisans almayı ve işletmenin devlet gerekliliklerine tam olarak uymasını garanti ediyoruz.

Bilgi güvenliği alanında sergi ve konferanslara katılım

AP-Real Şirketler Grubu uzmanları düzenli olarak tematik sergi ve konferanslara katılarak bilgi güvenliği alanındaki tüm yeniliklerin trendindedirler. Kazanılan tüm deneyimler her zaman pratikte uygulanır. Geniş deneyimimiz, avukatlarımızın, veri koruma ile uğraşan veya bilgi güvenliği araçları geliştiren bir kuruluşta hangi ekipmanın olması gerektiği konusunda yüksek kaliteli tavsiyeler vermesini sağlar.

Son zamanlarda, çalışanlarımız sergiyi ziyaret etti bilgi koruması"INTERPOLITEX - 2018"den. Serginin organizatörleri İçişleri Bakanlığı'nın (MVD) güçleriydi. Federal Hizmet Güvenlik (FSB) ve Rosgvardia. Fotoğraf raporu sayfada görüntülenebilir.