close

Вход

Забыли?

вход по аккаунту

?

mu sertifiksrzasch 2014

код для вставкиСкачать
Министерство образования и науки Российской Федерации
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО
ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
ТЕХНОЛОГИИ И ДИЗАЙНА»
ТЕХНОЛОГИЯ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ
Методические указания
для бакалавров по направлениям подготовки: 090900.62 – Информационная
безопасность
Составители:
А. Г. Макаров
Н. В. Переборова
В. И. Вагнер
Санкт-Петербург
2014
Утверждено
на заседании кафедры
25.09.2013 г., протокол № 2
Рецензент: Е. Г. Суздалов
Методические указания по дисциплине «Технология сертификации
средств защиты информации» разработаны по материалам кафедры
интеллектуальных систем в соответствии с требованиями ФГОС. Они
включают описание целей, задач и формируемых компетенций, тематику и
общее содержание работы, список литературы.
Предназначены для бакалавров по направлению подготовки 090900.62
– Информационная безопасность.
Оригинал-макет подготовлен составителем и издан в авторской редакции
Подписано в печать 26.03. 2014 г. Формат 60х84 1/16.
Усл. печ. л. 2,9. Тираж 100 экз. Заказ 114/14.
Электронный адрес: http://publish.sutd.ru
Отпечатано в типографии ФГБОУ ВПО «СПГУТД»
191028, С.-Петербург, ул. Моховая, 26
Оглавление
1. Основные понятия в области технической защиты информации ...................... 4
2. Концептуальные основы защиты информации. Система документов по
технической защите информации .............................................................................. 9
2.1. Концептуальные основы защиты информации ................................................. 9
2.2. Законодательные и иные правовые акты в области технической защиты
информации................................................................................................................ 13
3. Органы по технической защите информации в РФ ........................................... 16
3.1. Государственные органы в области защиты информации............................. 16
3.2. ФСТЭК России ................................................................................................... 18
4. Лицензирование деятельности в области ТЗИ ................................................... 22
4.1. Общий порядок лицензирования ...................................................................... 22
4.2. Лицензирование деятельности в области технической
защиты информации ................................................................................................. 26
4.3. Контроль за соблюдением лицензионных требований и условий ................ 28
5. Сертификация средств защиты информации ..................................................... 30
5.1. Общий порядок сертификации средств защиты информации ...................... 30
5.2. Порядок сертификации во ФСТЭК России ..................................................... 34
6. Аттестация объекта информатизации по требованиям безопасности
информации................................................................................................................ 41
ЛИТЕРАТУРА ........................................................................................................... 49
3
1. Основные понятия в области технической защиты информации
В современном обществе в связи с бурной информатизацией всё более
актуальной становится проблема защиты информации. Но прежде чем говорить
о защите информации, важно определить понятие информации, которое само
по себе является первичным в данной области. Существует множество
определений информации, которые варьируются в зависимости от контекста. В
данном курсе под информацией мы будем подразумевать сведения о лицах,
предметах, фактах, событиях, явлениях и процессах независимо от формы их
представления. По Ожегову С.И. сведения - это знания.
Следовательно, в общем случае информация - это знания в самом широком
понимании этого слова. То есть это не только образовательные или научные
знания, а любые сведения и данные, которые присутствуют повсеместно.
Защите подлежит конфиденциальная информация и секретная информация, к
которой относится государственная тайна. Под конфиденциальной
информацией подразумевается информация ограниченного доступа, не
содержащая государственную тайну.
В общем случае защита информации представляет собой противостояние
специалистов по информационной безопасности и злоумышленников.
Злоумышленник – это субъект, который незаконным путем пытается добыть,
изменить или уничтожить информацию законных пользователей.
Защита информации является слабоформализуемой задачей, то есть не
имеет формальных методов решения, и характеризуется следующим:
 большое
количество факторов, влияющих на построение
эффективной защиты;
 отсутствие точных исходных входных данных;
 отсутствие математических методов получения оптимальных
результатов по совокупности исходных данных.
В основе решения слабоформализуемых задач лежит системный подход.
То есть для решения задачи защиты информации необходимо построить
систему защиты информации, представляющую собой совокупность элементов,
функционирование которых направлено на обеспечение безопасности
информации. Входами любой системы являются воздействия, меняющие
состояние системы. Для системы защиты информации входами являются
угрозы, как внутренние, так и внешние. Угроза безопасности информации совокупность условий и факторов, создающих потенциальную или реально
существующую опасность нарушения безопасности информации. Атакой
называется попытка реализации угрозы, а тот, кто предпринимает такую
попытку, - злоумышленником. Источник угрозы безопасности информации субъект (физическое лицо, материальный объект или физическое явление),
являющийся непосредственной причиной возникновения угрозы безопасности
информации. Источниками угроз могут быть злоумышленники, технические
средства внутри организации, сотрудники организации, побочные физические
явления и пр. Выходами системы являются реакции системы на различные
4
значения входов. Выходами системы защиты информации являются меры
защиты. К параметрам системы защиты информации можно отнести
следующее:
 цели и задачи;
 входы и выходы системы;
 процессы внутри системы, которые преобразуют входы в выходы.
Цель – это желаемый результат построения системы защиты, задачи – то,
что надо сделать для достижения цели. Целью защиты информации является
обеспечение информационной безопасности. Понятие информационной
безопасности не менее многогранно, чем понятие самой информации, и зависит
от контекста, в котором применяется. В ходе данного курса под
информационной безопасностью мы будем понимать защищенность
информации и поддерживающей инфраструктуры от случайных или
преднамеренных воздействий естественного или искусственного характера,
которые могут нанести неприемлемый ущерб субъектам информационных
отношений, в том числе владельцам и пользователям информации и
поддерживающей инфраструктуры. То есть информационная безопасность –
это безопасность не только информации, но и поддерживающей
инфраструктуры. Если рассматривать только информацию, то безопасность
информации - состояние защищенности информации, при котором
обеспечиваются ее конфиденциальность, доступность и целостность.
Конфиденциальность, доступность и целостность представляют собой три
наиболее важных свойства информации в рамках обеспечения ее безопасности:
 конфиденциальность информации - состояние информации, при
котором доступ к ней осуществляют только субъекты, имеющие на него
право;
 целостность информации - состояние информации, при котором
отсутствует любое ее изменение либо изменение осуществляется только
преднамеренно субъектами, имеющими на него право;
 доступность информации - состояние информации, при котором
субъекты, имеющие права доступа, могут реализовать их
беспрепятственно.
К правам доступа относятся: право на чтение, изменение, копирование,
уничтожение информации, а также право на изменение, использование,
уничтожение ресурсов.
Более детально цели защиты информации перечислены в Федеральном
законе "Об информации, информатизации и о защите информации":
 предотвращение утечки, хищения, утраты, искажения, подделки
информации;
 предотвращение
угроз безопасности личности, общества,
государства;
 предотвращение несанкционированных действий по уничтожению,
модификации, искажению, копированию, блокированию информации;
предотвращение других форм незаконного вмешательства в
информационные ресурсы и информационные системы, обеспечение
5
правового режима документированной информации как объекта
собственности;
 защита конституционных прав граждан на сохранение личной
тайны и конфиденциальности персональных данных, имеющихся в
информационных системах;
 сохранение
государственной
тайны,
конфиденциальности
документированной информации в соответствии с законодательством;
 обеспечение прав субъектов в информационных процессах и при
разработке, производстве и применении информационных систем,
технологий и средств их обеспечения.
Важно понимать, что система защиты информации не может обеспечить
стопроцентную защиту. Задается определенный уровень информационной
безопасности, который отображает допустимый риск ее хищения, уничтожения
или изменения.
Все меры защиты информации по способам осуществления
подразделяются на:
 правовые (законодательные);
 морально-этические;
 технологические;
 организационные (административные и процедурные);
 физические;
 технические (аппаратурные и программные).
Среди перечисленных видов защиты базовыми являются правовая,
организационная и техническая защита информации.
Правовая защита - защита информации правовыми методами, включающая
в себя разработку законодательных и нормативных правовых документов
(актов), регулирующих отношения субъектов по защите информации,
применение этих документов (актов), а также надзор и контроль за их
исполнением[1.3]. К правовым мерам защиты относятся законы РФ, указы и
другие нормативно-правовые акты. На законодательном уровне происходит
регламентация правил обращения с информацией, определяются участники
информационных отношений, их права и обязанности, а также ответственность
в случае нарушения требований законодательства. В некотором роде эту группу
мер можно отнести к профилактическим. Их основной функцией является
упреждение потенциальных злоумышленников, ведь в большинстве случаев
именно страх наказания останавливает от совершения преступления.
Достоинствами правовых мер защиты является их универсальность в плане
применения ко всем способам незаконной добычи информации. Более того, в
некоторых случаях они являются единственно применимыми, как, например,
при защите авторского права в случае незаконного тиражирования.
К морально-этическим мерам относятся устоявшиеся в обществе нормы
поведения. В отдельных случаях они могут быть оформлены в письменном
виде, например, уставом или кодексом чести организации. Соблюдение
морально-этических норм не является обязательным и носит скорее
профилактический характер.
6
Организационные меры защиты – меры организационного характера,
предназначенные для регламентации функционирования информационных
систем, работы персонала, взаимодействия пользователей с системой. Среди
базовых организационных мер по защите информации можно выделить
следующее:
 формирование политики безопасности;
 регламентация доступа в помещения;
 регламентация допуска сотрудников к использованию ресурсов
информационной системы и др.
 определение ответственности в случае несоблюдения требований
информационной безопасности.
Организационные меры сами по себе не могут решить задачу обеспечения
безопасности. Они должны работать в комплексе с физическими и
техническими средствами защиты информации в части определения действий
людей.
Физическая защита представляет собой совокупность средств,
препятствующих
физическому
проникновению
потенциального
злоумышленника в контролируемую зону. Ими могут быть механические,
электро- или электронно-механические устройства различного типа. Чаще
всего, именно с построения физической защиты начинается обеспечение
безопасности в организации, в том числе информационной.
Последним и самым обширным по своему составу эшелоном системы
защиты является техническая защита информации. Именно этому виду защиты
посвящен данный курс.
Техническая защита информации - защита информации, заключающаяся в
обеспечении некриптографическими методами безопасности информации
(данных), подлежащей (подлежащих) защите в соответствии с действующим
законодательством, с применением технических, программных и программнотехнических средств [1.3]. Важно обратить внимание, что техническая защита –
это не только защита от утечки информации по техническим каналам утечки,
но и защита от НСД, от математического воздействия, от вредоносных
программ и т.п. Объектами технической защиты информации могут быть:
 объект информатизации;
 информационная система;
 ресурсы информационной системы;
 информационные технологии;
 программные средства;
 сети связи.
С позиции системного подхода система защиты информации должна
удовлетворять ряду принципов, основными из которых являются:
1. непрерывность. Если на какое-то время защита ослабевает
или прекращается вовсе, злоумышленник может воспользоваться
этим.
7
2. целенаправленность и конкретность - имеется в виду
необходимость защиты от наиболее опасных атак и четкая
формулировка целей.
3. надежность, универсальность и комплексность.
8
2. Концептуальные основы защиты информации. Система документов по
технической защите информации
2.1. Концептуальные основы защиты информации
Основу правового обеспечения информационной безопасности России
помимо нормативно-правовых актов составляют концептуальные документы.
Они принимаются на уровне Президента РФ, Правительства РФ и других
органов государственной власти. В частности, такими документами являются
Доктрина информационной безопасности РФ и Стратегия национальной
безопасности РФ до 2020 года.
Концепция (от лат. conceptio) - генеральный замысел, определяющий
стратегию действий. Концепция защиты информации - это система взглядов на
сущность, цели, принципы и организацию защиты информации.
Концепция защиты информации предполагает:
1. Определение понятия, сущности и целей защиты информации.
2. Какую информацию необходимо защищать, каковы критерии
отнесения ее к защищаемой.
3. Дифференциацию защищаемой информации: а) по степеням
конфиденциальности, б) по собственникам и владельцам.
4. Определение состава и классификации носителей защищаемой
информации.
5. Определение источников, видов и способов дестабилизирующего
воздействия на информацию, причин, обстоятельств и условий воздействий,
каналов, методов и средств несанкционированного доступа к информации.
6. Определение методов и средств защиты информации.
7. Кадровое обеспечение защиты информации.
То есть концептуальные документы определяют общие отношение и
политику государства в заданной области, а также служат основой для создания
нормативно–правовых документов.
Стратегия национальной безопасности до 2020 года была утверждена
президентом Д. Медведевым 12 мая 2009 года. Стратегия – это "официально
признанная система стратегических национальных приоритетов, целей и мер в
области внутренней и внешней политики, определяющих состояние
национальной безопасности и уровень устойчивого развития государства на
долгосрочную перспективу".
Документ содержит 6 разделов:
1. Общие положения
2. Современный мир и Россия: состояние и тенденции развития
3. Национальные
интересы
Российской
Федерации
и
стратегические национальные приоритеты
4. Обеспечение национальной безопасности
5. Организационные, нормативные правовые и информационные
основы реализации настоящей Стратегии
9
6. Основные
характеристики
состояния
национальной
безопасности в составе 112 отдельных пунктов
В Общих положениях дается перечень основных понятий в области
национальной безопасности:
1) Национальная безопасность - состояние защищенности личности,
общества и государства от внутренних и внешних угроз, которое позволяет
обеспечить конституционные права, свободы, достойные качество и уровень
жизни граждан, суверенитет, территориальную целостность и устойчивое
развитие Российской Федерации, оборону и безопасность государства;
2) национальные интересы Российской Федерации - совокупность
внутренних и внешних потребностей государства в обеспечении защищенности
и устойчивого развития личности, общества и государства;
3) угроза национальной безопасности - прямая или косвенная возможность
нанесения ущерба конституционным правам, свободам, достойному качеству и
уровню жизни граждан, суверенитету и территориальной целостности,
устойчивому развитию Российской Федерации, обороне и безопасности
государства;
4) стратегические национальные приоритеты - важнейшие направления
обеспечения национальной безопасности, по которым реализуются
конституционные права и свободы граждан Российской Федерации,
осуществляются устойчивое социально-экономическое развитие и охрана
суверенитета страны, ее независимости и территориальной целостности;
5) система обеспечения национальной безопасности - силы и средства
обеспечения национальной безопасности;
6) силы обеспечения национальной безопасности - Вооруженные Силы
Российской Федерации, другие войска, воинские формирования и органы, в
которых федеральным законодательством предусмотрена военная и (или)
правоохранительная служба, а также федеральные органы государственной
власти, принимающие участие в обеспечении национальной безопасности
государства на основании законодательства Российской Федерации;
7) средства обеспечения национальной безопасности - технологии, а также
технические, программные, лингвистические, правовые, организационные
средства, включая телекоммуникационные каналы, используемые в системе
обеспечения национальной безопасности для сбора, формирования, обработки,
передачи или приема информации о состоянии национальной безопасности и
мерах по ее укреплению.
"Концептуальные положения в области обеспечения национальной
безопасности
базируются
на
фундаментальной
взаимосвязи
и
взаимозависимости Стратегии национальной безопасности Российской
Федерации на период до 2020 года и Концепции долгосрочного социальноэкономического развития Российской Федерации на период до 2020 года".
Важно подчеркнуть, что Документ ориентирован именно на национальную
безопасность, то есть на безопасность интересов государства в целом. При этом
задача обеспечения национальной безопасности признается комплексной
10
задачей, для решения которой в Стратегии представлены следующие
направления деятельности:
 повышение качества жизни российских граждан;
 экономический рост;
 наука, технология и образование;
 здравоохранение;
 культура;
 экология живых систем и рациональное природопользование.
В заключительной части описаны основные характеристики состояния
национальной безопасности, а именно:
1. уровень безработицы (доля от экономически активного населения);
2. децильный коэффициент (соотношение доходов 10% наиболее и
10% наименее обеспеченного населения);
3. уровень роста потребительских цен;
4. уровень государственного внешнего и внутреннего долга в
процентном отношении от валового внутреннего продукта;
5. уровень обеспеченности ресурсами здравоохранения, культуры,
образования и науки в процентном отношении от валового внутреннего
продукта;
6. уровень ежегодного обновления вооружения, военной и
специальной техники;
7. уровень обеспеченности военными и инженерно-техническими
кадрами.
Для сравнения: в Европе децильный коэффициент находится в диапазоне
6-8, в США – 10-12, в России, по данным Российской академии наук, 14-17.
Этот параметр является наиболее значимым при определении состояния
национальной безопасности, и одной из основных задач на данный момент
является его максимальное уменьшение.
В целом, Стратегия национальной безопасности РФ до 2020 года стала
принципиально новым документом, основной целью которого является
планирование развития системы национальной безопасности, в том числе цели,
меры и порядок действий для ее обеспечения. Стратегия стала своего рода
ответом на новую международную обстановку и отразила взгляды и планы
руководства РФ в отношении внешней политики.
Если Стратегия ориентирована на вопросы национальной безопасности, то
основополагающим концептуальным документом в области информационной
безопасности является Доктрина информационной безопасности, утвержденная
9 сентября 2000 года. Доктрина информационной безопасности РФ отображает
официальные взгляды на цели, задачи, принципы и основные направления
обеспечения информационной безопасности РФ. Доктрина служит основой для:
 формирования государственной политики в области обеспечения
информационной безопасности Российской Федерации;
 подготовки
предложений по совершенствованию правового,
методического, научно-технического и организационного обеспечения
информационной безопасности Российской Федерации;
11
 разработки
целевых программ обеспечения информационной
безопасности Российской Федерации.
В Доктрине выделены четыре составляющие национальных интересов в
области информационных отношений:
 соблюдение прав и свобод человека в области получения
информации и пользования ею, обеспечение духовного обновления
России, сохранение и укрепление нравственных ценностей общества,
традиций патриотизма и гуманизма, культурного и научного потенциала
страны.;
 информационное
обеспечение
внутренней
и
внешней
государственной политики страны;
 развитие информационных технологий в соответствии со временем;
 защита информационных ресурсов от несанкционированного
доступа,
обеспечение
безопасности
информационных
и
телекоммуникационных систем, как уже развернутых, так и создаваемых
на территории России.
Дается следующее определение информационной безопасности состояние защищенности ее национальных интересов в информационной
сфере, определяющихся совокупностью сбалансированных интересов
личности, общества и государства.
Таким образом, понятие информационной безопасности здесь является
более расширенным, чем рассмотренное нами в предыдущей лекции.
В соответствии с Доктриной угрозы информационной безопасности
подразделяются на следующие виды:
 угрозы конституционным правам и свободам человека и гражданина,
индивидуальному, групповому и общественному сознаниям, духовному
возрождению России. Примером данного вида угроз может быть незаконное
ограничение доступа к информации, намеренное дезинформирование или
прослушивание телефона.
 угрозы информационному обеспечению государственной политики
России. Сюда относится нарушение работы государственных СМИ,
монополизация информационного рынка России.
 угрозы развитию российской индустрии информации. Интересным
является то, что закупка органами государственной власти зарубежных средств
информатизации приравнивается в Доктрине к угрозе, так как мешает
отечественным производителям развиваться. Отток высококвалифицированных
специалистов также относится к данному типу угроз.
 угрозы безопасности информационных и телекоммуникационных средств
и систем, как уже развернутых, так и создаваемых на территории России. Этот
вид угроз наиболее близок к пониманию, так как именно к нему относятся
угрозы "классических" атак и воздействий. Сюда относятся противоправные
сбор и обработка информации, хищение, утечка по техническим каналам и
несанкционированный доступ к информации. В ходе курса мы подробнее
остановимся на данном виде угроз.
12
Совершенствование правовых механизмов регулирования общественных
отношений, возникающих в информационной сфере, является приоритетным
направлением
государственной
политики
в
области
обеспечения
информационной безопасности Российской Федерации. Правовое обеспечение
информационной безопасности Российской Федерации должно базироваться,
прежде всего, на соблюдении принципов законности, баланса интересов
граждан, общества и государства в информационной сфере.
Соблюдение принципа законности требует от федеральных органов
государственной власти и органов государственной власти субъектов
Российской Федерации при решении возникающих в информационной сфере
конфликтов неукоснительно руководствоваться законодательными и иными
нормативными правовыми актами, регулирующими отношения в этой сфере.
Соблюдение принципа баланса интересов граждан, общества и государства
в информационной сфере предполагает законодательное закрепление
приоритета этих интересов в различных областях жизнедеятельности общества,
а также использование форм общественного контроля деятельности
федеральных органов государственной власти и органов государственной
власти
субъектов
Российской
Федерации.
Реализация
гарантий
конституционных прав и свобод человека и гражданина, касающихся
деятельности в информационной сфере, является важнейшей задачей
государства в области информационной безопасности.
Разработка механизмов правового обеспечения информационной
безопасности Российской Федерации включает в себя мероприятия по
информатизации правовой сферы в целом.
Важно отметить, что Доктрина не является нормативно-правовым
документом, то есть не обязательна к исполнению ни государством, ни его
органами власти, ни гражданами, ни организациями. Доктрина разрабатывается
для определенного исторического этапа развития и реализовывается в
дальнейшем в виде законов, нормативных актов и практических мер, которые
будут рассмотрены далее.
2.2. Законодательные и иные правовые акты в области технической
защиты информации.
Нормативные правовые акты по технической защите информации – это
федеральные законы, указы и распоряжения Президента РФ, Постановления
правительства РФ. Нормативно-правовые акты являются основным источником
права в Государстве. Юридическая сила нормативно-правовых актов является
наиболее существенным признаком их классификации. Она определяет их
место и значимость в общей системе государственного нормативного
регулирования. Закон – это главный нормативно-правовой акт. К законам в
области технической защиты информации можно отнести:
 Закон Российской Федерации от 05.03.1992 № 2446-1 "О
безопасности".
13
 Закон
Российской Федерации от 22.06.1993 № 5485-1 "О
государственной тайне".
 Федеральный закон №128 от 08.08.2001 "О лицензировании
отдельных видов деятельности"
 Федеральный
Закон №184 от 27.12.2002 "О техническом
регулировании"
 Федеральный Закон №149 от 27.07.2006 "Об информации,
информационных технологиях и о защите информации"
 Федеральный закон №152 от 27.07.2006 "О персональных данных"
Указы и распоряжения Президента РФ в области технической защиты
информации:
 "Вопросы федеральной службы по техническому и экспортному
контролю" от 16.08.2004
 "Об утверждении перечня сведений, отнесенных к государственной
тайне" от 30.11.1995.
 "Об утверждении перечня сведений конфиденциального характера"
от 06.03.1997
 "О
мерах по обеспечению информационной безопасности
Российской
Федерации
при
использовании
информационнотелекоммуникационных сетей международного информационного
обмена" от 17.03.2008.
В структуру нормативно-правовых актов входят также постановления
Правительства РФ, приведем основные из них:
 "Об организации лицензирования отдельных видов деятельности"
от 26.01.2006
 "Об утверждении Положения о сертификации средств защиты
информации" от 26.06.1995
 "О
лицензировании деятельности по технической защите
конфиденциальной информации" от 15.08.2006
 "О
лицензировании деятельности по разработке и (или)
производству средств защиты конфиденциальной информации" от
31.08.2006
Организационные документы – это уставы, положения, инструкции.
Уставы и инструкции издаются на уровне организации и, как правило, не
имеют отношения к государственному регулированию. В контексте данной
лекции ключевым документом данного типа является положение. Положение –
это сводный документ, определяющий порядок образования, структуру,
функции, компетенцию, обязанности и организацию работы системы органов
государства. Положением может также регламентироваться деятельность
должностных лиц. В области технической защиты информации основными
положениями являются:
 Положение о Федеральной службе по техническому и экспортному
контролю от 16.08.2004
 Положение о государственном лицензировании деятельности в
области защиты информации от 27.04.1994
14
 Положение
о лицензировании деятельности по технической защите
конфиденциальной информации от 15.08.2006
 Положение о сертификации средств защиты информации от
26.06.1995
 Положение
по аттестации объектов информатизации по
требованиям безопасности информации 25.11.1996 и др.
Выделяют также группу нормативных и методических документов по
технической защите информации. К этой группе относятся руководящие
документы ФСТЭК России, ФСБ России и других уполномоченных органов. С
актуальным перечнем документов в области технической защиты информации
можно ознакомиться на сайте ФСТЭК России.
15
3. Органы по технической защите информации в РФ
3.1. Государственные органы в области защиты информации
Система государственного регулирования и контроля в области
информационной безопасности построена на деятельности специальных
государственных органов, к которым относятся:
Комитет Государственной думы по безопасности - структура в
Государственной Думе Федерального собрания России, в ведении которой
находятся рассмотрение и подготовка законопроектов по вопросам
безопасности государства и граждан.
Совет безопасности России - совещательный орган, осуществляющий
подготовку решений Президента Российской Федерации по вопросам
обеспечения защищённости жизненно важных интересов личности, общества и
государства от внутренних и внешних угроз, проведения единой
государственной политики по обеспечению национальной безопасности.
Федеральная служба по техническому и экспортному контролю (ФСТЭК
России)
Федеральная служба безопасности Российской Федерации (ФСБ России)
Служба внешней разведки Российской Федерации (СВР России) основной орган внешней разведки Российской Федерации.
Министерство обороны Российской Федерации (Минобороны России) федеральный орган исполнительной власти (федеральное министерство),
проводящий государственную политику и осуществляющий государственное
управление в области обороны, а также координирующий деятельность
федеральных министерств, иных федеральных органов исполнительной власти
и органов исполнительной власти субъектов Российской Федерации по
вопросам обороны.
Министерство внутренних дел Российской Федерации (МВД России) федеральный орган исполнительной власти, осуществляющий функции по
выработке и реализации государственной политики и нормативно-правовому
регулированию в сфере внутренних дел, а также по выработке государственной
политики в сфере миграции.
Федеральная служба по надзору в сфере связи, информационных
технологий и массовых коммуникаций (Роскомнадзор) - федеральный орган
исполнительной власти, осуществляющий функции по контролю и надзору в
сфере средств массовой информации, в том числе электронных, и массовых
коммуникаций, информационных технологий и связи, функции по контролю и
надзору за соответствием обработки персональных данных требованиям
законодательства Российской Федерации в области персональных данных, а
также функции по организации деятельности радиочастотной службы.
В области технической защиты информации ключевыми органами
является ФСБ России и ФСТЭК России.
16
ФСБ России является федеральным органом исполнительной власти, в
пределах своих полномочий осуществляющим государственное управление в
области обеспечения безопасности Российской Федерации, защиты и охраны
государственной границы Российской Федерации (далее именуется государственная граница), охраны внутренних морских вод, территориального
моря, исключительной экономической зоны, континентального шельфа
Российской Федерации и их природных ресурсов, обеспечивающим
информационную безопасность Российской Федерации и непосредственно
реализующим основные направления деятельности органов федеральной
службы безопасности, определенные законодательством Российской
Федерации, а также координирующим контрразведывательную деятельность
федеральных органов исполнительной власти, имеющих право на ее
осуществление. Руководит ФСБ Президент. При ФСБ России действует
Академия криптографии Российской Федерации. Основные цели, задачи и
функции ФСБ описаны в "Положении о Федеральной службе безопасности
Российской Федерации и ее структуре". Среди перечисленных в данном
документе функций процитируем те, которые связаны непосредственно с ТЗИ:
1. ФСБ определяет порядок осуществления в пределах своих
полномочий контроля за организацией и функционированием
криптографической
и
инженерно-технической
безопасности
информационно-телекоммуникационных систем, систем шифрованной,
засекреченной и иных видов специальной связи, за соблюдением режима
секретности при обращении с шифрованной информацией в
шифровальных подразделениях государственных органов и организаций
на территории Российской Федерации и в ее учреждениях, находящихся за
пределами Российской Федерации, а также за обеспечением защиты особо
важных объектов (помещений) и находящихся в них технических средств
от утечки информации по техническим каналам.
2. ФСБ осуществляет и организует в соответствии с федеральным
законодательством сертификацию средств защиты информации, систем и
комплексов телекоммуникаций, технических средств, используемых для
выявления электронных устройств, предназначенных для негласного
получения информации, в помещениях и технических средствах,
специальных технических средств, предназначенных для негласного
получения информации, технических средств обеспечения безопасности и
(или) защиты информации; определяет основные направления
деятельности органов федеральной службы безопасности в этих областях.
3. осуществляет и организует в соответствии с федеральным
законодательством лицензирование отдельных видов деятельности.
ФСБ России имеет право проводить плановые проверки в следующих
случаях:
 представление по запросу отчета по лицензируемым видам
деятельности;
 представление копий аттестатов соответствия по требованиям
информационной безопасности на автоматизированные системы, в
17
составе которых эксплуатируются системы криптографической защиты
информации (СКЗИ);
 явочная проверка выполнения организационных мер на объектах
лицензируемых видов деятельности.
Другими словами, ФСБ России отвечает за организацию работы с
криптографическими (шифровальными) средствами защиты информации и
специальными
техническими
средствами,
предназначенными
для
противодействия утечке по техническим каналам связи. Следует отметить, что
ФСБ должна проводить собственные разработки и исследования
криптографических и специальных технических средств защиты информации, а
также способствовать аналогичным разработкам других организаций
Российской Федерации.
3.2. ФСТЭК России
Гостехкомиссия России в связи с выходом Указа Президента Российской
Федерации от 9 марта 2004 г. № 314 "О системе и структуре федеральных
органов исполнительной власти" была преобразована во ФСТЭК России.
Федеральная служба по техническому и экспортному контролю (ФСТЭК
России)
является
федеральным
органом
исполнительной
власти,
осуществляющим реализацию государственной политики, организацию
межведомственной координации и взаимодействия, специальные и
контрольные функции в области государственной безопасности по вопросам:

обеспечения
безопасности
информации
в
системах
информационной и телекоммуникационной инфраструктуры, оказывающих
существенное влияние на безопасность государства в информационной
сфере;

противодействия иностранным техническим разведкам на
территории Российской Федерации;

обеспечения
защиты
(некриптографическими
методами)
информации, содержащей сведения, составляющие государственную тайну,
иной информации с ограниченным доступом, предотвращения ее утечки по
техническим каналам, несанкционированного доступа к ней, специальных
воздействий на информацию (носители информации) в целях ее добывания,
уничтожения, искажения, и блокирования доступа к ней на территории
Российской Федерации (далее – техническая защита информации);

защиты информации при разработке, производстве, эксплуатации и
утилизации неинформационных излучающих комплексов, систем и
устройств;

осуществления экспортного контроля.
ФСТЭК России организует деятельность государственной системы
противодействия техническим разведкам и технической защиты информации и
руководит ею.
18
ФСТЭК России является органом защиты государственной тайны,
наделенным полномочиями по распоряжению сведениями, составляющими
государственную тайну. Руководство деятельностью ФСТЭК России
осуществляет
Президент
Российской
Федерации.
ФСТЭК
России
подведомственна Минобороны России. ФСТЭК России и ее территориальные
органы входят в состав государственных органов обеспечения безопасности.
Основными задачами ФСТЭК России являются:
1. Реализация в пределах своей компетенции государственной
политики в области обеспечения безопасности информации в ключевых
системах информационной инфраструктуры, противодействия техническим
разведкам и технической защиты информации.
2. Осуществление государственной научно-технической политики в
области защиты информации при разработке, производстве, эксплуатации и
утилизации неинформационных излучающих комплексов, систем и
устройств.
3. Организация
деятельности
государственной
системы
противодействия техническим разведкам и технической защиты
информации на федеральном, межрегиональном, региональном, отраслевом
и объектовом уровнях, а также руководство указанной государственной
системой.
4. Осуществление
самостоятельного
нормативно-правового
регулирования вопросов:
o
обеспечения безопасности информации в ключевых системах
информационной инфраструктуры;
o
противодействия техническим разведкам;
o
технической защиты информации;
o
размещения и использования иностранных технических
средств наблюдения и контроля в ходе реализации международных
договоров России, иных программ и проектов на территории России, на
континентальном шельфе и в исключительной экономической зоне
России;
o
координации деятельности органов государственной власти
по подготовке развернутых перечней сведений, подлежащих
засекречиванию,
а
также
методического
руководства
этой
деятельностью;
o
осуществления экспортного контроля.
5. Обеспечение в пределах своей компетенции безопасности
информации в ключевых системах информационной инфраструктуры,
противодействия техническим разведкам и технической защиты
информации в аппаратах федеральных органов государственной власти и
органов государственной власти субъектов Российской Федерации, в
федеральных органах исполнительной власти, органах исполнительной
власти субъектов Российской Федерации, органах местного самоуправления
и организациях.
19
6. Прогнозирование развития сил, средств и возможностей
технических разведок, выявление угроз безопасности информации.
7. Противодействие
добыванию
информации
техническими
средствами разведки, техническая защита информации.
8. Осуществление координации деятельности федеральных органов
исполнительной власти, органов исполнительной власти субъектов
Российской Федерации и организаций по государственному регулированию
размещения и использования иностранных технических средств наблюдения
и контроля в ходе реализации международных договоров России, иных
программ и проектов на территории России, на континентальном шельфе и в
исключительной экономической зоне России.
9. Осуществление в пределах своей компетенции контроля
деятельности по обеспечению безопасности информации в ключевых
системах информационной инфраструктуры, по противодействию
техническим разведкам и по технической защите информации в аппаратах
федеральных органов государственной власти и органов государственной
власти субъектов Российской Федерации, в федеральных органах
исполнительной власти, органах исполнительной власти субъектов
Российской Федерации, органах местного самоуправления и организациях.
10. Реализация
государственной
политики
и
организация
межведомственного взаимодействия в области экспортного контроля.
11. Осуществление
контроля
за
соблюдением
российскими
участниками внешнеэкономической деятельности законодательных и иных
нормативных правовых актов Российской Федерации в области экспортного
контроля.
12. Осуществление
центральным
аппаратом
ФСТЭК
России
организационно-технического
обеспечения
деятельности
Межведомственной комиссии по защите государственной тайны и Комиссии
по экспортному контролю Российской Федерации. Деятельность ФСТЭК
России
обеспечивают
Государственный
научно-исследовательский
испытательный институт проблем технической защиты информации ФСТЭК
России, а также другие подведомственные ФСТЭК России организации.
Как приемник деятельности Гостехкомиссиии России ФСТЭК наделена
следующими полномочиями:
 организация и проведение лицензирования деятельности по
осуществлению мероприятий и/или оказанию услуг в области защиты
государственной тайны (в части, касающейся противодействия
техническим разведкам и/или технической защиты информации);
 создание средств защиты информации, содержащей сведения,
составляющие государственную тайну;
 техническая защита конфиденциальной информации;
 разработка и/или производство средств защиты конфиденциальной
информации, а также лицензирование иных видов деятельности в
соответствии с законодательством Российской Федерации.
20
Решения ФСТЭК России являются обязательными для исполнения всеми
органами
государственной
власти
и
местного
самоуправления,
государственными и негосударственными предприятиями, учреждениями,
организациями, должностными лицами и гражданами.
21
4. Лицензирование деятельности в области ТЗИ
4.1. Общий порядок лицензирования
Лицензирование деятельности в области защиты информации
представляет собой определенную форму государственного контроля и должно
обеспечить не только допуск организаций, соответствующих определенным
требованиям и условиям, к осуществлению определенных видов деятельности,
но и повышение качества непосредственно мероприятий и услуг по
технической защите информации.
Государственная система лицензирования деятельности в области
технической защиты информации включает в себя две составляющие:
 допуск предприятий и организаций к оказанию услуг по защите
информации;
 контроль качества и эффективности оказываемых услуг в процессе
их деятельности.
Рассмотрим основные понятия в области лицензирования.
Лицензия - специальное разрешение на осуществление конкретного вида
деятельности при обязательном соблюдении лицензионных требований и
условий, выданное лицензирующим органом юридическому лицу или
индивидуальному предпринимателю.
Лицензируемый вид деятельности - вид деятельности, на осуществление
которого на территории Российской Федерации требуется получение лицензии.
Лицензирование - мероприятия, связанные с предоставлением лицензий,
переоформлением документов, подтверждающих наличие лицензий,
приостановлением действия лицензий в случае административного
приостановления деятельности лицензиатов за нарушение лицензионных
требований и условий, возобновлением или прекращением действия лицензий,
аннулированием лицензий, контролем лицензирующих органов за
соблюдением лицензиатами при осуществлении лицензируемых видов
деятельности соответствующих лицензионных требований и условий, ведением
реестров лицензий, а также с предоставлением в установленном порядке
заинтересованным лицам сведений из реестров лицензий и иной информации о
лицензировании.
Лицензионные требования и условия - совокупность установленных
положениями о лицензировании конкретных видов деятельности требований и
условий, выполнение которых лицензиатом обязательно при осуществлении
лицензируемого вида деятельности.
Лицензирующие органы - федеральные органы исполнительной власти,
органы исполнительной власти субъектов Российской Федерации,
осуществляющие лицензирование в соответствии с ФЗ "О лицензировании
отдельных видов деятельности" от 8 августа 2001г.
Лицензиат - юридическое лицо или индивидуальный предприниматель,
имеющие лицензию на осуществление конкретного вида деятельности;
22
Соискатель лицензии - юридическое лицо или индивидуальный
предприниматель, обратившиеся в лицензирующий орган с заявлением о
предоставлении лицензии на осуществление конкретного вида деятельности.
Реестр лицензий - совокупность данных о предоставлении лицензий,
переоформлении
документов,
подтверждающих
наличие
лицензий,
приостановлении и возобновлении действия лицензий и об аннулировании
лицензий.
Срок действия лицензии не может быть более 5 лет. По истечении этого
срока лицензия может быть продлена по заявлению лицензиата.
Порядок получения лицензии следующий:
Соискатель лицензии отправляет в лицензирующий орган заявление о
предоставлении лицензии, в котором указываются:
 для юридического лица: полное и сокращенное наименование и
организационно-правовая форма, адреса, где планируется ведение
лицензируемого вида деятельности, государственный регистрационный
номер записи о создании юр.лица и данные документа, подтверждающего
внесение в реестр юридических лиц РФ.
 для индивидуального предпринимателя: полное ФИО, место
жительства, адреса мест, где планируется ведение лицензируемой
деятельности, данные документа, удостоверяющего личность (например,
паспорта), государственный регистрационный номер записи о
регистрации и данные документа, подтверждающего факт внесения
сведений
об
индивидуальном
предпринимателе
в
единый
государственный реестр индивидуальных предпринимателей.
 ИНН
и данные документа, подтверждающего постановку
соискателя на учет в налоговом органе.
 лицензируемый вид деятельности.
К заявлению соискатель должен приложить следующие документы:
 копии учредительных документов (для юридического лица);
 документ, подтверждающий уплату государственной пошлины за
рассмотрение лицензирующим органом заявления о предоставлении
лицензии;
 копии документов, перечень которых определяется положением о
лицензировании
конкретного
вида
деятельности
и
которые
свидетельствуют о наличии у соискателя лицензии возможности
выполнения лицензионных требований и условий, в том числе
документов, наличие которых при осуществлении лицензируемого вида
деятельности предусмотрено федеральными законами.
Решение о предоставлении лицензии (или отказе) принимается в срок, не
превышающий 5 дней со дня поступления документов. Уведомление о
принятии решения вручается или отправляется соискателю в письменной
форме. Если решение отрицательное, должны указываться причины отказа и
реквизиты акта проверки возможности выполнения соискателем лицензии
лицензионных требований и условий, если причиной отказа является
невозможность выполнения соискателем лицензии указанных требований и
23
условий. Соискатель лицензии должен заплатить государственную пошлину за
получение лицензии и в течение трех дней после оплаты может получить
лицензию.
Причинами отказа в получении лицензии могут быть:
 наличие в документах, представленных соискателем лицензии,
недостоверной или искаженной информации;
 несоответствие соискателя лицензии, принадлежащих ему или
используемых им объектов лицензионным требованиям и условиям.
Перечислим пункты, которые должны содержать решение о
предоставлении лицензии и в документе, подтверждающем наличие лицензии:
 наименование лицензирующего органа;
 полное и (в случае, если имеется) сокращенное наименование, в
том числе фирменное наименование, и организационно-правовая форма
юридического лица, место его нахождения, адреса мест осуществления
лицензируемого вида деятельности, государственный регистрационный
номер записи о создании юридического лица;
 ФИО индивидуального предпринимателя, место его жительства,
адреса мест осуществления лицензируемого вида деятельности, данные
документа, удостоверяющего его личность, основной государственный
регистрационный номер записи о государственной регистрации
индивидуального предпринимателя;
 лицензируемый вид деятельности;
 срок действия лицензии;
 ИНН;
 номер лицензии;
 дата принятия решения о предоставлении лицензии.
Лицензирующий орган в праве приостановить действие лицензии или
аннулировать ее. Приостановление действия лицензии осуществляется по
решению суда в случае выявления нарушений лицензионных требований и
условий в течение суток со дня принятия судом решение. Действие лицензии
возобновляется, если лицензиат уведомляет в письменном виде об устранении
нарушений. Если лицензиат не устраняет нарушения в установленный судом
срок, лицензирующий орган может обратиться в суд, по решению которого
лицензия может быть аннулирована.
Действие лицензии прекращается в следующих случаях:
 ликвидация юридического или физического лица.
 окончание срока действия лицензии или принятие решения о
досрочном
прекращении
действия
лицензии
на
основании
представленного в лицензирующий орган заявления в письменной форме
лицензиата.
 решение суда об аннулировании лицензии.
Лицензирующие органы обязаны вести специальные реестры лицензий на
виды деятельности, лицензирование которых они осуществляют. В реестре
указывается следующая информация:
24
 полное
и (в случае, если имеется) сокращенное наименование, в том
числе фирменное наименование, и организационно-правовая форма
юридического лица, место его нахождения, адреса мест осуществления
лицензируемого вида деятельности, государственный регистрационный
номер записи о создании юридического лица;
 фамилия, имя и (в случае, если имеется) отчество индивидуального
предпринимателя, место его жительства, адреса мест осуществления
лицензируемого вида деятельности, данные документа, удостоверяющего
его личность, основной государственный регистрационный номер записи
о государственной регистрации индивидуального предпринимателя;
 лицензируемый вид деятельности (с указанием выполняемых работ
и оказываемых услуг при осуществлении видов деятельности, указанных
в пункте 2 статьи 17 настоящего Федерального закона);
 срок действия лицензии;
 идентификационный номер налогоплательщика;
 номер лицензии;
 дата принятия решения о предоставлении лицензии;
 сведения о регистрации лицензии в реестре лицензий;
 основание и срок приостановления и возобновления действия
лицензии;
 основание и дата аннулирования лицензии;
 основание
и
срок
применения
упрощенного
порядка
лицензирования;
 сведения об адресах мест осуществления лицензируемого вида
деятельности;
 сведения о выдаче документа, подтверждающего наличие лицензии;
 основание и дата прекращения действия лицензии;
 иные сведения, определенные положениями о лицензировании
конкретных видов деятельности.
Информация из реестра лицензий является открытой для физических и
юридических лиц. Выписку можно получить за установленную плату в 10
рублей в течение трех дней после подачи заявления.
Перечислим виды деятельности, относящиеся к защите информации, на
осуществление которых требуется получение лицензии:
 деятельность
по
распространению
шифровальных
(криптографических) средств;
 деятельность по техническому обслуживанию шифровальных
(криптографических) средств;
 предоставление услуг в области шифрования информации;
 разработка, производство шифровальных (криптографических)
средств,
защищенных
с
использованием
шифровальных
(криптографических)
средств
информационных
систем,
телекоммуникационных систем;
 деятельность
по
выявлению
электронных
устройств,
предназначенных для негласного получения информации, в помещениях
25
и технических средствах (за исключением случая, если указанная
деятельность осуществляется для обеспечения собственных нужд
юридического лица или индивидуального предпринимателя);
 деятельность по разработке и (или) производству средств защиты
конфиденциальной информации;
 деятельность
по
технической
защите
конфиденциальной
информации;
 разработка, производство, реализация и приобретение в целях
продажи специальных технических средств, предназначенных для
негласного
получения
информации,
индивидуальными
предпринимателями и юридическими лицами, осуществляющими
предпринимательскую деятельность.
Важным пунктом в контексте данного курса является необходимость
получения лицензии на осуществление деятельности по технической защите
конфиденциальной информации.
4.2. Лицензирование деятельности в области технической защиты
информации
Лицензирование деятельности по технической защите конфиденциальной
информации осуществляет ФСТЭК России. Для получения лицензии
соискателю необходимо выполнить следующие требования и условия:
1.
наличие в штате специалистов, имеющих высшее
профессиональное образование в области технической защиты
информации либо высшее или среднее профессиональное (техническое)
образование и прошедших переподготовку или повышение квалификации
по вопросам технической защиты информации;
2.
наличие
у
соискателя
лицензии
помещений
для
осуществления
лицензируемой
деятельности,
соответствующих
техническим нормам и требованиям по технической защите информации,
установленным
нормативными
правовыми
актами
Российской
Федерации, и принадлежащих ему на праве собственности или на ином
законном основании;
3.
наличие на любом законном основании производственного,
испытательного
и
контрольно-измерительного
оборудования,
прошедшего в соответствии с законодательством Российской Федерации
метрологическую поверку (калибровку), маркирование и сертификацию;
4.
использование автоматизированных систем, обрабатывающих
конфиденциальную информацию, а также средств защиты такой
информации, прошедших процедуру оценки соответствия (аттестованных
и (или) сертифицированных по требованиям безопасности информации) в
соответствии с законодательством Российской Федерации;
26
5.
использование
предназначенных
для
осуществления
лицензируемой деятельности программ для электронно-вычислительных
машин и баз данных на основании договора с их правообладателем;
6.
наличие нормативных правовых актов, нормативнометодических и методических документов по вопросам технической
защиты информации в соответствии с перечнем, установленным
Федеральной службой по техническому и экспортному контролю.
Для получения лицензии соискатель отправляет в ФСТЭК документы,
рассмотренные в предыдущем разделе данной лекции. Помимо этих
документов, соискатель обязан предоставить следующее:
1.
копии
документов,
подтверждающих
квалификацию
специалистов по защите информации (дипломов, удостоверений,
свидетельств);
2.
копии документов, подтверждающих право собственности,
право хозяйственного ведения или оперативного управления на
помещения, предназначенные для осуществления лицензируемой
деятельности, либо копии договоров аренды указанных помещений или
безвозмездного пользования ими;
3.
копии аттестатов соответствия защищаемых помещений
требованиям безопасности информации;
4.
копии технического паспорта автоматизированной системы с
приложениями, акта классификации автоматизированной системы по
требованиям безопасности информации, плана размещения основных и
вспомогательных технических средств и систем, аттестата соответствия
автоматизированной системы требованиям безопасности информации
или сертификата соответствия автоматизированной системы требованиям
безопасности информации, а также перечень защищаемых в
автоматизированных
системах
ресурсов
с
документальным
подтверждением степени конфиденциальности каждого ресурса,
описание технологического процесса обработки информации в
автоматизированной системе;
5.
копии документов, подтверждающих право на используемые
для осуществления лицензируемой деятельности программы для
электронно-вычислительных машин и базы данных;
6.
сведения о наличии производственного и контрольноизмерительного оборудования, средств защиты информации и средств
контроля защищенности информации, необходимых для осуществления
лицензируемой деятельности, с приложением копий документов о
поверке контрольно-измерительного оборудования;
7.
сведения об имеющихся у соискателя лицензии нормативных
правовых актах, нормативно-методических и методических документах
по вопросам технической защиты информации.
ФСТЭК проверяет комплектность предоставленных документов, полноту и
достоверность указанных в них сведений. Если каких-то сведений (документов)
не хватает, ФСТЭК в течение 15 дней уведомляет об этом соискателя. В срок,
27
не превышающий 45 дней после получения документов от соискателя, ФСТЭК
принимает
решение
о
выдаче
лицензии.
Решение
оформляется
соответствующим актом ФСТЭК.
Лицензия выдается на 5 лет , и после окончания этого срока может быть
продлена по заявлению лицензиата.
4.3. Контроль за соблюдением лицензионных требований и условий
Функция контроля за соблюдением лицензиатом лицензионных
требований и условий осуществляет лицензирующий орган, то есть в случае
технической защиты конфиденциальной информации – ФСТЭК. Способом
контроля являются плановые и внеплановые проверки, которые проводятся в
порядке, установленным ФЗ-№294 "О защите прав юридических лиц и
индивидуальных предпринимателей при осуществлении государственного
контроля (надзора) и муниципального контроля".
Целью плановой проверки является проверка соблюдения лицензиатом
лицензионных требований и условий в процессе осуществления деятельности
по технической защите конфиденциальной информации. В отношении одного
юридического лица или индивидуального предпринимателя она может
проводиться не чаще одного раза в течение трех лет. Плановые проверки
осуществляются в соответствии с ежегодным планом проверок, который
публикуется на официальном сайте ФСТЭК России.
Лицензиат включается в плановую проверку в случае истечения трех лет
со дня:
 государственной регистрации лицензиата;
 окончания проведения последней плановой проверки лицензиата.
Лицензиат уведомляется не позднее трех рабочих дней до проведения
проверки.
Предметом внеплановой проверки является соблюдение лицензиатом
лицензионных требований и условий, выполнение предписаний об устранении
выявленных нарушений, проведение мероприятий по обеспечению
безопасности государства.
Основанием для проведения внеплановой проверки является:
1.
истечение срока исполнения ранее выданного лицензиату
предписания об устранении выявленного нарушения лицензионных
требований и условий;
2.
поступление в ФСТЭК России обращений и заявлений
граждан, юридических лиц, индивидуальных предпринимателей,
информации от органов государственной власти, органов местного
самоуправления, из средств массовой информации о следующих фактах:
o
возникновения угрозы причинения вреда безопасности
государства;
o
причинение вреда безопасности государства.
Плановая и внеплановые проверки проводятся в документарной или
выездной формах. Документарная проверка проверяет документы лицензиата и
28
осуществляется по месту нахождения ФСТЭК. В ходе выездной проверки
проверяются не только документы лицензиата, но и соответствие его
лицензионным требованиям и условиям.
Срок проведения каждой из проверок не может превышать 20 рабочих
дней. По результатам проверки составляется акт в двух экземплярах, к
которому прилагаются протоколы (заключения) проведенных исследований
(испытаний) и экспертиз.
Подводя итог, можно сказать, что процесс получения лицензии на
техническую защиту конфиденциальной информации является весьма
трудоемким, длительным и, что не маловажно, затратным, ведь для получения
лицензии необходимо выполнить все лицензионные требования и условия.
Самым продолжительным по времени является обучение специалистов на
курсах повышения квалификации. Несмотря на то, что количество организаций,
имеющих дело с конфиденциальной информацией, достаточно велико,
специалистов с высшим профессиональным образованием в области ТЗИ может
позволить себе далеко не каждая из них. Частные курсы по повышению
квалификации, утвержденные ФСТЭК, как правило, рассчитаны на 72 часа.
Самым затратным в экономическом плане требованием является проведение
аттестации объектов информатизации (автоматизированной системы и
защищенного помещения), предназначенных для обработки конфиденциальной
информации. Более того, возникает проблема приобретения контрольноизмерительного оборудования, которое после аттестации вообще не нужно,
если только организация не собирается оказывать услуги по аттестации
объектов информатизации. Альтернативный вариант – взять такое
оборудование в аренду, но это тоже стоит денег. Таким образом,
продолжительность процесса лицензирования может занять от 2 до 6 месяцев и
повлечь за собой значительные материальные затраты. Вариантом решения
данной проблемы является аутсорсинг. Аутсорсинг (от англ. outsourcing)
дословно "использование внешних источников". Аутсорсинг предполагает
передачу от компании-заказчика сторонней организации(подрядчику)
определенных функций уставной деятельности, например, техническую защиту
конфиденциальной информации. При этом подрядчик использует свои
программные, технические и другие средства защиты, лицензии, аттестаты и
т.п., а также несет ответственность за результат выполнения своей работы.
29
5. Сертификация средств защиты информации
5.1. Общий порядок сертификации средств защиты информации
Сертификация средств защиты информации производится в соответствии с
"Положением о сертификации средств защиты информации", утвержденным
постановлением Правительства Российской Федерации от 26 июня 1995 г.
Cертификация - форма осуществляемого органом по сертификации
подтверждения соответствия объектов требованиям технических регламентов,
положениям стандартов, сводов правил или условиям договоров.
Cертификат соответствия - документ, удостоверяющий соответствие
объекта требованиям технических регламентов, положениям стандартов,
сводов правил или условиям договоров.
Технические, криптографические, программные и другие средства,
предназначенные для защиты сведений, составляющих государственную тайну,
средства, в которых они реализованы, а также средства контроля
эффективности защиты информации являются средствами защиты
информации.
Указанные средства подлежат обязательной сертификации, которая
проводится в рамках систем сертификации средств защиты информации.
Система сертификации средств защиты информации представляет собой
совокупность участников сертификации, которыми являются:
 федеральный орган по сертификации;
 центральный орган системы сертификации - орган, возглавляющий
систему сертификации однородной продукции;
 органы по сертификации средств защиты информации - органы,
проводящие сертификацию определенной продукции;
 испытательные
лаборатории
лаборатории,
проводящие
сертификационные испытания (отдельные виды этих испытаний)
определенной продукции;
 изготовители - продавцы, исполнители продукции.
Центральные органы системы сертификации, органы по сертификации
средств защиты информации и испытательные лаборатории проходят
аккредитацию на право проведения работ по сертификации. Целью
аккредитации является проверка возможности выполнения работ по
сертификации средств защиты информации. Аккредитация проводится только
при наличии у указанных органов и лабораторий лицензии на соответствующие
виды деятельности.
Федеральный орган по сертификации осуществляет следующее:
 создает системы сертификации;
 осуществляет выбор способа подтверждения соответствия средств
защиты информации требованиям нормативных документов;
30
 устанавливает
правила аккредитации центральных органов систем
сертификации, органов по сертификации средств защиты информации и
испытательных лабораторий;
 определяет центральный орган для каждой системы сертификации;
 выдает сертификаты и лицензии на применение знака соответствия;
 ведет
государственный реестр участников сертификации и
сертифицированных средств защиты информации;
 осуществляет государственные контроль и надзор за соблюдением
участниками
сертификации
правил
сертификации
и
за
сертифицированными средствами защиты информации, а также
устанавливает порядок инспекционного контроля;
 рассматривает апелляции по вопросам сертификации;
 представляет
на государственную регистрацию в Комитет
Российской Федерации по стандартизации, метрологии и сертификации
системы сертификации и знак соответствия;
 устанавливает порядок признания зарубежных сертификатов;
 приостанавливает или отменяет действие выданных сертификатов.
Центральный орган системы сертификации:
 организует работы по формированию системы сертификации и
руководство ею, координирует деятельность органов по сертификации
средств защиты информации и испытательных лабораторий, входящих в
систему сертификации;
 ведет учет входящих в систему сертификации органов по
сертификации средств защиты информации и испытательных
лабораторий, выданных и аннулированных сертификатов и лицензий на
применение знака соответствия;
 обеспечивает
участников
сертификации
информацией
о
деятельности системы сертификации.
При отсутствии в системе сертификации центрального органа его функции
выполняются федеральным органом по сертификации
Органы по сертификации средств защиты информации:
 сертифицируют
средства
защиты
информации,
выдают
сертификаты и лицензии на применение знака соответствия с
представлением копий в федеральные органы по сертификации и ведут
их учет;
 приостанавливают либо отменяют действие выданных ими
сертификатов и лицензий на применение знака соответствия;
 принимают решение о проведении повторной сертификации при
изменениях в технологии изготовления и конструкции (составе)
сертифицированных средств защиты информации;
 формируют фонд нормативных документов, необходимых для
сертификации;
 представляют изготовителям по их требованию необходимую
информацию в пределах своей компетенции.
31
Испытательные лаборатории проводят сертификационные испытания
средств защиты информации и по их результатам оформляют заключения и
протоколы, которые направляют в соответствующий орган по сертификации
средств защиты информации и изготовителям. Испытательные лаборатории
несут ответственность за полноту испытаний средств защиты информации и
достоверность их результатов.
Изготовители:
 производят (реализуют) средства защиты информации только при
наличии сертификата;
 извещают орган по сертификации, проводивший сертификацию, об
изменениях в технологии изготовления и конструкции (составе)
сертифицированных средств защиты информации;
 маркируют сертифицированные средства защиты информации
знаком соответствия в порядке, установленном для данной системы
сертификации;
 указывают
в сопроводительной технической документации
сведения о сертификации и нормативных документах, которым средства
защиты информации должны соответствовать, а также обеспечивают
доведение этой информации до потребителя;
 применяют сертификат и знак соответствия, руководствуясь
законодательством Российской Федерации и правилами, установленными
для данной системы сертификации;
 обеспечивают
соответствие средств защиты информации
требованиям нормативных документов по защите информации;
 обеспечивают беспрепятственное выполнение своих полномочий
должностными лицами органов, осуществляющих сертификацию, и
контроль за сертифицированными средствами защиты информации;
 прекращают
реализацию средств защиты информации при
несоответствии их требованиям нормативных документов или по
истечении срока действия сертификата, а также в случае приостановки
действия сертификата или его отмены.
Процедура сертификации включает:
1.
подачу и рассмотрение заявки на проведение сертификации
(продления срока действия) средства защиты информации в Федеральный
орган по сертификации. Заявка оформляется на бланке заявителя и
заверяется печатью. Федеральный орган назначает орган по
сертификации и испытательную лабораторию, после чего заявитель
отправляет туда сертифицируемое средство защиты информации.
2.
сертификационные испытания средств защиты информации и
(при необходимости) аттестацию их производства. Сроки проведения
испытаний устанавливаются на договорной основе между заявителем и
лабораторией. По результатам испытаний оформляется заключение,
которое отправляется в орган по сертификации и заявителю.
3.
экспертизу результатов испытаний, оформление, регистрацию
и выдачу сертификата и лицензии на право использования знака
32
соответствия. На основании заключения испытательной лаборатории
орган сертификации делает заключение и отправляет его в Федеральный
орган
по
сертификации.
После
присвоения
сертификату
регистрационного номера, его получает заявитель. Срок действия
сертификата – 3 года.
4.
осуществление государственного контроля и надзора,
инспекционного контроля за соблюдением правил обязательной
сертификации и за сертифицированными средствами защиты
информации. По результатам контроля Федеральный орган по
сертификации может приостановить или аннулировать сертификат в
следующих случаях:
o
изменения на законодательном уровне, касающиеся
требований к средствам защиты информации, методам испытаний и
контроля;
o
изменение технологии изготовления, конструкции
(состава), комплектности средств защиты информации и системы
контроля их качества;
o
невыполнение требований технологии изготовления,
контроля и испытаний средств защиты информации;
o
несоответствие сертифицированных средств защиты
информации техническим условиям или формуляру, выявленное в
ходе государственного или инспекционного контроля;
o
отказ
заявителя
в
допуске
(приеме)
лиц,
уполномоченных осуществлять государственный контроль и
надзор, инспекционный контроль за соблюдением правил
сертификации и за сертифицированными средствами защиты
информации.
5.
информирование о результатах сертификации средств защиты
информации;
6.
рассмотрение апелляций. Апелляция подается в федеральный
орган по сертификации и рассматривается в месячный срок с участием
независимых экспертов и заинтересованных сторон.
Сертификация импортных средств защиты информации проводится по тем
же правилам, что и отечественных.
Основными схемами проведения сертификации средств защиты
информации являются:
 единичных образцов средств защиты информации - проведение
испытаний этих образцов на соответствие требованиям по защите
информации;
 для серийного производства средств защиты информации проведение типовых испытаний образцов средств защиты информации на
соответствие требованиям по защите информации и последующий
инспекционный
контроль
за
стабильностью
характеристик
сертифицированных средств защиты информации, определяющих
выполнение этих требований.
33
В отдельных случаях по согласованию с органом по сертификации средств
защиты информации допускается проведение испытаний на испытательной
базе изготовителя. Сроки проведения испытаний устанавливаются договором
между изготовителем и испытательной лабораторией.
При несоответствии результатов испытаний требованиям нормативных и
методических документов по защите информации орган по сертификации
средств защиты информации принимает решение об отказе в выдаче
сертификата и направляет изготовителю мотивированное заключение.
В случае несогласия с отказом в выдаче сертификата изготовитель имеет
право обратиться в центральный орган системы сертификации, федеральный
орган по сертификации или в Межведомственную комиссию для
дополнительного рассмотрения полученных при испытаниях результатов [5.1].
Оплата работ по сертификации конкретных средств защиты информации
осуществляется на основании договоров между участниками сертификации.
Инспекционный контроль за сертифицированными средствами защиты
информации осуществляют органы, проводившие сертификацию этих средств
защиты информации.
Органы по сертификации и испытательные лаборатории несут
ответственность за выполнение своих функций, обеспечение сохранности
информации
ограниченного
доступа,
материальных
ценностей,
предоставленных заявителем, а также за соблюдение авторских прав
разработчика при испытаниях его средств защиты информации.
Основными органами сертификации в области технической защиты
информации являются ФСБ России и ФСТЭК России. При этом ФСБ России
действует в области криптографической защиты информации, а ФСТЭК России
– в области технической защиты информации некриптографическими
методами. Требования по сертификации ФСБ России являются закрытыми,
ознакомление с ними предполагает наличие специальных допусков, требования
ФСТЭК России публикуются на официальном сайте и являются публичными.
5.2. Порядок сертификации во ФСТЭК России
Рассмотрим примерный перечень действий по сертификации во ФСТЭК
России.
1. Подача заявки на сертификацию во ФСТЭК России.
В заявке указываются:
o
наименования заявителя
o
адрес заявителя
o
наименование
продукции,
которую
Заявитель
хочет
сертифицировать
o
перечень нормативных и методических документов, на
соответствие требованиям которых заявителю необходимо сертифицировать
свою продукцию.
34
схема сертификации (единичный образец продукции или серийное
производство)
o
испытательная лаборатория, в которой Заявитель хотел бы провести
испытания
o
дополнительные условия или требования
Заявитель указывает в заявке, что он обязуется:
o
выполнять все условия сертификации;
o
обеспечивать стабильность сертифицированных характеристик
продукции, маркированной знаком соответствия;
o
оплатить все расходы по проведению сертификации.
Важно: заявитель должен иметь лицензию ФСТЭК на соответствующий
вид деятельности!
Пример заявки на сертификацию программного комплекса представлен на
рис. 1.
o
2. Решение на проведение сертификационных испытаний
ФСТЭК в течение месяца после получения заявки направляет Заявителю,
назначенным органу по сертификации и испытательной лаборатории решение
на проведение сертификационных испытаний, которое содержит следующее:
o
наименование Заявителя, адрес Заявителя;
o
наименование сертифицируемой продукции, код ОКП, ТУ;
o
схема проведения сертификации (испытания единичного образца
продукции/ партии из N образцов/ образца продукции для серийного
производства);
o
назначенная испытательная лаборатория и ее адрес;
o
перечень нормативных и методических документов, на
соответствие требованиям которых должна проводиться сертификация;
o
испытательная лаборатория, назначенная для проведения
последующего инспекционного контроля;
35
Рис. 1. Пример заявки на сертификацию
36
Рис. 2. Пример решения на проведение сертификационных испытаний
орган по сертификации, назначенный для проведения экспертизы
результатов сертификационных испытаний;
o
способ оплаты работ.
Орган по сертификации и испытательная лаборатория могут быть
изменены по согласованию с Заказчиком. Решение служит основанием для
начала испытаний и "поводом" для заключения договора между Заявителем и
испытательной лабораторией. Пример решения на проведение сертификации
представлен на рис. 2.
o
3. Заключение договора с испытательной лабораторией
В
договоре
с
испытательной
лабораторией
о
проведении
сертификационных испытаний устанавливаются сроки, порядок проведения
сертификационных испытаний, а также стоимость работ. Обычно
испытательная лаборатория сначала готовит коммерческое предложение с
обоснованием сроков и стоимости работ, а также проект договора. Как правило,
37
в комплект договорных документов входят: договор, техническое задание на
проведение работ, ведомость исполнения, протокол согласования цены.
Помимо указанных сведений, в договоре рекомендуется предусмотреть такие
пункты, как ответственность за порчу испытательных образцов или порядок
приостановки испытаний в случае внесения каких-то изменений.
4. Подготовка исходных данных.
Этот этап включает в себя разработку, согласование и утверждение
программы и методики сертификационных испытаний.
Испытательная лаборатория разрабатывает программу и методику
проведения испытаний, передает заявителю информацию о том, какие данные
необходимы для испытаний. Также программа и методика отправляются в
орган по сертификации на утверждение.
Заявитель получает от испытательной лаборатории программу и методику
испытаний, согласовывает ее и готовит все необходимые исходные данные. Он
предоставляет испытательной лаборатории средства защиты информации в
комплектации, соответствующей техническим условиям или формуляру, а
также комплект всей необходимой документации в соответствии с ЕСПД или
ЕСКД.
5. Сертификационные испытания.
Испытательная лаборатория отбирает образцы сертифицируемой
продукции, идентифицирует их и проводит сертификационные испытания
продукции по утвержденным программе и методике. При этом Заявитель
готовит и настраивает стенд для проведения сертификационных испытаний.
Важно отметить, что запрещается вносить изменения в состав или конструкцию
объекта сертификации, а также в документацию во время испытаний. Это
может привести к остановке испытаний и их полному "перезапуску", что
повлияет на стоимость и сроки проведения работ.
6. Оформление результатов испытаний
Результаты
испытаний
оформляются
в
виде
протоколов
сертификационных испытаний и технических заключений. Эти документы
направляются в орган по сертификации, а копии – Заявителю. В случае
отсутствия обоснованных замечаний к результатам, предоставленным
испытательной лабораторией, со стороны Заявителя или органа по
сертификации, ее работа по договору считается выполненной.
7. Заключение договора с органом по сертификации
Испытательная лаборатория заключает договор с органом по
сертификации о проведении экспертизы результатов сертификационных
испытаний, в котором оговариваются сроки (как правило, 1 месяц), порядок и
стоимость. Иногда орган по сертификации требует заключить договор с
Заявителем, а не с испытательной лабораторией. Этот пункт является спорным
38
и не регламентированным. Данный вопрос лучше всего изначально оговорить с
испытательной лабораторией.
8. Экспертиза результатов сертификационных испытаний
Орган по сертификации в соответствии с договором проводит экспертизу
результатов сертификационных испытаний, а также технических и
эксплуатационных документов на сертифицируемую продукцию. Результатом
становится оформление экспертного заключения, которое вместе с техническим
заключением, материалами сертификационных испытаний, комплектом
необходимой технической и эксплуатационной документации на объект
сертификации представляет во ФСТЭК России для принятия решения о
выпуске сертификата.
9. Решение о выдаче сертификата.
На основании полученных от органа сертификации документов, а именно
технического заключения и экспертного заключения, ФСТЭК принимает
решение о выдаче сертификата. Как было сказано выше, срок сертификата 3
года. Пример сертификата соответствия на рис. 3.
Если в результате проверки ФСТЭК выявит несоответствие результатов
испытаний требованиям законодательства, будет принято решение об отказе в
выдаче сертификата. При этом Заявителю будет направлено мотивированное
заключение.
39
Рис. 3. Пример сертификата соответствия ФСТЭК
В случае несогласия с отказом Заявитель имеет право обратиться в
апелляционный совет Федерального органа по сертификации для
дополнительного рассмотрения материалов сертификации. Апелляция
рассматривается в месячный срок с привлечением заинтересованных сторон и
независимых экспертов. Податель апелляции извещается о принятом решении.
40
6. Аттестация объекта информатизации по требованиям безопасности
информации
Деятельность по аттестации объектов информатизации по требованиям
безопасности
информации
осуществляет
ФСТЭК
России
(бывш.
Гостехкомиссия России). Для начала дадим определение объекта
информатизации.
Объект информатизации - совокупность информационных ресурсов,
средств и систем обработки информации, используемых в соответствии с
заданной информационной технологией, средств обеспечения объекта
информатизации, помещений или объектов (зданий, сооружений, технических
средств), в которых они установлены, или помещения и объекты,
предназначенные для ведения конфиденциальных переговоров.
Аттестация объектов информатизации (далее аттестация) - комплекс
организационно-технических мероприятий, в результате которых посредством
специального документа - "Аттестата соответствия" подтверждается, что
объект соответствует требованиям стандартов или иных нормативнотехнических документов по безопасности информации, утвержденных ФСТЭК
России (Гостехкомиссией России). Наличие аттестата соответствия в
организации дает право обработки информации с уровнем секретности
(конфиденциальности) на период времени, установленный в аттестате.
Аттестация производится в порядке, установленном "Положением по
аттестации объектов информатизации по требованиям безопасности
информации" от 25 ноября 1994 года. Аттестация должна проводится до начала
обработки информации, подлежащей защите. Это необходимо в целях
официального подтверждения эффективности используемых мер и средств по
защите этой информации на конкретном объекте информатизации.
Аттестация является обязательной в следующих случаях:
 государственная тайна;
 при защите государственного информационного ресурса;
 управление экологически опасными объектами;
 ведение секретных переговоров.
Во всех остальных случаях аттестация носит добровольный характер, то
есть может осуществляться по желанию заказчика или владельца объекта
информатизации.
Аттестация предполагает комплексную проверку (аттестационные
испытания) объекта информатизации в реальных условиях эксплуатации.
Целью является проверка соответствия применяемых средств и мер защиты
требуемому уровню безопасности. К проверяемым требованиям относится:
 защита от НСД, в том числе компьютерных вирусов;
 защита от утечки через ПЭМИН;
 защита от утечки или воздействия информацию за счет
специальных устройств, встроенных в объект информатизации.
41
Аттестация проводится органом по аттестации в соответствии со схемой,
выбираемой этим органом, и состоит из следующего перечня работ:
 анализ
исходных
данных
по
аттестуемому
объекту
информатизации;
 предварительное
ознакомление
с
аттестуемым
объектом
информатизации;
 проведение экспертного обследования объекта информатизации и
анализ разработанной документации по защите информации на этом
объекте с точки зрения ее соответствия требованиям нормативной и
методической документации;
 проведение испытаний отдельных средств и систем защиты
информации на аттестуемом объекте информатизации с помощью
специальной контрольной аппаратуры и тестовых средств;
 проведение испытаний отдельных средств и систем защиты
информации в испытательных центрах (лабораториях) по сертификации
средств защиты информации по требованиям безопасности информации;
 проведение комплексных аттестационных испытаний объекта
информатизации в реальных условиях эксплуатации;
 анализ результатов экспертного обследования и комплексных
аттестационных испытаний объекта информатизации и утверждение
заключения по результатам аттестации.
Органы по аттестации должны проходить аккредитацию ФСТЭК в
соответствии с "Положением об аккредитации испытательных лабораторий и
органов по сертификации средств защиты информации по требованиям
безопасности информации".
Все расходы по проведению аттестации возлагаются на заказчика, как в
случае добровольной, так и обязательной аттестации.
Органы по аттестации несут ответственность за выполнение своих
функций, за сохранение в секрете информации, полученной в ходе аттестации,
а также за соблюдение авторских прав заказчика.
В структуру системы аттестации входят:
 федеральный орган по сертификации средств защиты информации
и аттестации объектов информатизации по требованиям безопасности
информации – ФСТЭК России;
 органы по аттестации объектов информатизации по требованиям
безопасности информации;
 испытательные центры (лаборатории) по сертификации продукции
по требованиям безопасности информации;
 заявители
(заказчики, владельцы, разработчики аттестуемых
объектов информатизации).
В качестве заявителей могут выступать заказчики, владельцы или
разработчики аттестуемых объектов информатизации.
В качестве органов по аттестации могут выступать отраслевые и
региональные учреждения, предприятия и организации по защите информации,
42
специальные центры ФСТЭК России, которые прошли соответствующую
аккредитацию.
Органы по аттестации:
 аттестуют
объекты информатизации и выдают "Аттестаты
соответствия";
 осуществляют
контроль
за
безопасностью
информации,
циркулирующей на аттестованных объектах информатизации, и за их
эксплуатацией;
 отменяют и приостанавливают действие выданных этим органом
"Аттестатов соответствия";
 формируют фонд нормативной и методической документации,
необходимой
для
аттестации
конкретных
типов
объектов
информатизации, участвуют в их разработке;
 ведут информационную базу аттестованных этим органом объектов
информатизации;
 осуществляют взаимодействие с ФСТЭК России и ежеквартально
информируют его о своей деятельности в области аттестации.
ФСТЭК осуществляет следующие функции в рамках системы аттестации:
 организует обязательную аттестацию объектов информатизации;
 создает
системы аттестации объектов информатизации и
устанавливает правила для проведения аттестации в этих системах;
 устанавливает правила аккредитации и выдачи лицензий на
проведение работ по обязательной аттестации;
 организует, финансирует разработку и утверждает нормативные и
методические документы по аттестации объектов информатизации;
 аккредитует органы по аттестации объектов информатизации и
выдает им лицензии на проведение определенных видов работ;
 осуществляет государственный контроль и надзор за соблюдением
правил аттестации и эксплуатацией аттестованных объектов
информатизации;
 рассматривает апелляции, возникающие в процессе аттестации
объектов информатизации, и контроля за эксплуатацией аттестованных
объектов информатизации;
 организует
периодическую
публикацию
информации
по
функционированию системы аттестации объектов информатизации по
требованиям безопасности информации.
Испытательные лаборатории проводят испытания несертифицированной
продукции, используемой на аттестуемом объекте информатизации.
Со списком органов по аттестации и испытательных лабораторий,
прошедших аккредитацию, можно ознакомиться на официальном сайте ФСТЭК
России в разделе "Сведения о Системе сертификации средств защиты
информации по требованиям безопасности информации".
Заявители:
43
 проводят
подготовку объекта информатизации для аттестации
путем
реализации
необходимых
организационно-технических
мероприятий по защите информации;
 привлекают органы по аттестации для организации и проведения
аттестации объекта информатизации;
 предоставляют органам по аттестации необходимые документы и
условия для проведения аттестации;
 привлекают, в необходимых случаях, для проведения испытаний
несеpтифициpованных средств защиты информации, используемых на
аттестуемом
объекте информатизации,
испытательные центры
(лаборатории) по сертификации;
 осуществляют
эксплуатацию
объекта
информатизации
в
соответствии с условиями и требованиями, установленными в "Аттестате
соответствия";
 извещают орган по аттестации, выдавший "Аттестат соответствия",
о всех изменениях в информационных технологиях, составе и
размещении средств и систем информатики, условиях их эксплуатации,
которые могут повлиять на эффективность мер и средств защиты
информации (перечень характеристик, определяющих безопасность
информации, об изменениях которых требуется обязательно извещать
орган по аттестации, приводится в "Аттестате соответствия");
 предоставляют
необходимые документы и условия для
осуществления контроля и надзора за эксплуатацией объекта
информатизации, прошедшего обязательную аттестацию.
Для проведения испытаний заявитель предоставляет органу по аттестации
следующие документы и данные:
 приемо-сдаточную документацию на объект информатизации;
 акты
категорирования выделенных помещений и объектов
информатизации;
 инструкции по эксплуатации средств защиты информации;
 технический паспорт на аттестуемый объект;
 документы
на
эксплуатацию
(сертификаты
соответствия
требованиям безопасности информации) ТСОИ;
 сертификаты соответствия требованиям безопасности информации
на ВТСС;
 сертификаты соответствия требованиям безопасности информации
на технические средства защиты информации;
 акты на проведенные скрытые работы;
 протоколы измерения звукоизоляции выделенных помещений и
эффективности экранирования сооружений и кабин (если они
проводились);
 протоколы измерения величины сопротивления заземления;
 протоколы измерения реального затухания информационных
сигналов до мест возможного размещения средств разведки;
44
 данные
по уровню подготовки кадров, обеспечивающих защиту
информации;
 данные
о техническом обеспечении средствами контроля
эффективности защиты информации и их метрологической поверке;
 нормативную
и методическую документацию по защите
информации и контролю эффективности защиты.
Приведенный общий объем исходных данных и документации может
уточняться заявителем в зависимости от особенностей аттестуемого объекта
информатизации по согласованию с аттестационной комиссией.
 пояснительную
записку,
содержащую
информационную
характеристику и организационную структуру объекта защиты, сведения
об организационных и технических мероприятиях по защите информации
от утечки по техническим каналам;
 перечень объектов информатизации, подлежащих защите, с
указанием мест их расположения и установленной категории защиты;
 перечень
выделенных помещений, подлежащих защите, с
указанием мест их расположения и установленной категории защиты;
 перечень устанавливаемых ТСОИ с указанием наличия сертификата
(предписания на эксплуатацию) и мест их установки;
 перечень устанавливаемых ВТСС с указанием наличия сертификата
и мест их установки;
 перечень
устанавливаемых
технических
средств
защиты
информации с указанием наличия сертификата и мест их установки;
 cхему (в масштабе) с указанием плана здания, в котором
расположены защищаемые объекты, границы контролируемой зоны,
трансформаторной подстанции, заземляющего устройства, трасс
прокладки инженерных коммуникаций, линий электропитания, связи,
пожарной и охранной сигнализации, мест установки разделительных
устройств и т.п.;
 технологические поэтажные планы здания с указанием мест
расположения объектов информатизации и выделенных помещений и
характеристиками их стен, перекрытий, материалов отделки, типов
дверей и окон;
 планы объектов информатизации с указанием мест установки
ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс
прокладки инженерных коммуникаций и посторонних проводников;
 план-схему инженерных коммуникаций всего здания, включая
систему вентиляции;
 план-схему системы заземления объекта с указанием места
расположения заземлителя;
 план-схему системы электропитания здания с указанием места
расположения разделительного трансформатора (подстанции), всех
щитов и разводных коробок;
45
 план-схему
прокладки телефонных линий связи с указанием мест
расположения распределительных коробок и установки телефонных
аппаратов;
 план-схему систем охранной и пожарной сигнализации с указанием
мест установки и типов датчиков, а также распределительных коробок;
 схемы систем активной защиты (если они предусмотрены).
Порядок проведения аттестации объектов информатизации по требованиям
безопасности информации включает следующие действия:
1. подача и рассмотрение заявки на аттестацию. Заявка имеет
установленную форму, с которой можно ознакомиться в "Положении об
аттестации объектов информатизации по требованиям безопасности".
Заявитель направляет заявку в орган по аттестации, который в месячный
срок рассматривает заявку, выбирает схему аттестации и согласовывает ее с
заявителем.
2. предварительное ознакомление с аттестуемым объектом –
производится в случае недостаточности предоставленных заявителем
данных до начала аттестационных испытаний;
3. испытание в испытательных лабораториях несертифицированных
средств и систем защиты информации, используемых на аттестуемом
объекте.
4. разработка программы и методики аттестационных испытаний.
Этот шаг является результатом рассмотрения исходных данных и
предварительного ознакомления с аттестуемым объектом. Орган по
аттестации определяет перечень работ и их продолжительность, методику
испытаний, состав аттестационной комиссии, необходимость использования
контрольной аппаратуры и тестовых средств или участия испытательных
лабораторий. Программа аттестационных испытаний согласовывается с
заявителем.
5. заключение договоров на аттестацию. Результатом предыдущих
четырех этапов становится заключение договора между заявителем и
органом по аттестации, заключением договоров между органом по
аттестации и привлекаемыми экспертами и оформлением предписания о
допуске аттестационной комиссии к проведению аттестации.
6. проведение аттестационных испытаний объекта информатизации. В
ходе аттестационных испытаний выполняется следующее:
o анализ организационной структуры объекта информатизации,
информационных потоков, состава и структуры комплекса технических
средств и программного обеспечения, системы защиты информации на
объекте, разработанной документации и ее соответствия требованиям
нормативной документации по защите информации;
o определяется правильность категорирования объектов ЭВТ и
классификации АС (при аттестации автоматизированных систем), выбора и
применения сертифицированных и несеpтифициpованных средств и систем
защиты информации;
46
проводятся испытания несертифицированных средств и систем
защиты информации на аттестуемом объекте или анализ результатов их
испытаний в испытательных центрах (лабораториях) по сертификации;
o проверяется
уровень подготовки кадров и распределение
ответственности персонала за обеспечение выполнения требований по
безопасности информации;
o проводятся комплексные аттестационные испытания объекта
информатизации в реальных условиях эксплуатации путем проверки
фактического выполнения установленных требований на различных этапах
технологического процесса обработки защищаемой информации;
o оформляются протоколы испытаний и заключение по результатам
аттестации с конкретными рекомендациями по устранению допущенных
нарушений, приведению системы защиты объекта информатизации в
соответствие с установленными требованиями и совершенствованию этой
системы, а также рекомендациями по контролю за функционированием
объекта информатизации.
К заключению прилагаются протоколы испытаний, подтверждающие
полученные при испытаниях результаты и обосновывающие приведенный в
заключении вывод.
Протокол аттестационных испытаний должен влючать:
o вид испытаний;
o объект испытаний;
o дату и время проведения испытаний;
o место проведения испытаний;
o перечень
использованной в ходе испытаний аппаратуры
(наименование, тип, заводской номер, номер свидетельства о поверке и
срок его действия);
o перечень нормативно-методических документов, в соответствии с
которыми проводились испытания;
o методику проведения испытания (краткое описание);
o результаты измерений;
o результаты расчетов;
o выводы по результатам испытаний.
Протоколы испытаний подписываются экспертами – членами
аттестационной комиссии, проводившими испытания, с указанием должности,
фамилии и инициалов.
Заключение по результатам аттестации подписывается членами
аттестационной комиссии, утверждается руководителем органа аттестации и
представляется заявителю. Заключение и протоколы испытаний подлежат
утверждению органом по аттестации.
7. оформление, регистрация и выдача "Аттестата соответствия" (если
заключение по результатам аттестации утверждено).
8. осуществление
государственного
контроля
и
надзора,
инспекционного контроля за проведением аттестации и эксплуатацией
аттестованных объектов информатизации;
o
47
9. рассмотрение апелляций. В случае, если заявитель не согласен с
отказом в выдаче "Аттестата соответствия", он может подать апелляцию в
вышестоящий орган по аттестации или в ФСТЭК. Апелляция
рассматривается в срок, не превышающий один месяц с привлечением
заинтересованных сторон.
Аттестат соответствия должен содержать:
 регистрационный номер;
 дату выдачи;
 срок действия;
 наименование, адрес и местоположение объекта информатизации;
 категорию объекта информатизации;
 класс защищенности автоматизированной системы;
 гриф
секретности
(конфиденциальности)
информации,
обрабатываемой на объекте информатизации;
 организационную структуру объекта информатизации и вывод об
уровне подготовки специалистов по защите информации;
 номера и даты утверждения программы и методики, в соответствии
с которыми проводились аттестационные испытания;
 перечень руководящих документов, в соответствии с которыми
проводилась аттестация;
 номер
и дата утверждения заключения по результатам
аттестационных испытаний;
 состав комплекса технических средств обработки информации
ограниченного доступа, перечень вспомогательных технических средств
и систем, перечень технических средств защиты информации, а также
схемы их размещения в помещениях и относительно границ
контролируемой зоны, перечень используемых программных средств;
 организационные
мероприятия, при проведении которых
разрешается обработка информации ограниченного доступа;
 перечень действий, которые запрещаются при эксплуатации
объекта информатизации;
 список лиц, на которых возлагается обеспечение требований по
защите информации и контроль за эффективностью реализованных мер и
средств защиты информации.
Аттестат соответствия подписывается руководителем аттестационной
комиссии и утверждается руководителем органа по аттестации.
Аттестат соответствия выдается на период, в течение которого
обеспечивается
неизменность
условий
функционирования
объекта
информатизации и технологии обработки защищаемой информации, могущих
повлиять на характеристики, определяющие безопасность информации (состав
и структура технических средств, условия размещения, используемое
программное обеспечение, режимы обработки информации, средства и меры
защиты), но не более чем на 3 года.
48
ЛИТЕРАТУРА
1. Корнеев, И. К. Защита информации в офисе. /И. К.Корнеев, Е. А. Степанов.
— М.: Проспект. — 2011.
2. Барченков, А. И. Документоведение и защита конфиденциальной
информации./ А. И. Барченков. — СПб : СПбГПУ. 2003.
3. Гудов, Г. Н. Защита конфиденциальной информации в акционерных
обществах./ Г. Н. Гудов.— М.:АЭБ , 2007.
4. Ищейнов, В. Я. Защита конфиденциальной информации. учебное пособие
для студентов высших учебных заведений./ В. Я. Ищейнов. — М.: Форум,
2009.
5. Минин, О. В. Защита конфиденциальной информации при электронном
документообороте./ О. В. Минин.— Новосибирск : НГТУ, 2011.
6. Конституция Российской Федерации — 1993.
7. Закон Российской Федерации "О безопасности" от 05.03.92 //Ведомости
съезда народных депутатов Российской Федерации и Верховного Совета
РФ. 1992. № 15. Ст. 769.
8. Закон РФ "О государственной тайне" от 21.07.93 // Журнал официальной
информации: Кадастр. 1993. № 35. С. 3-41.
9. Закон РФ "Об информации, информационных технологиях и о защите
информации " № 149-ФЗ от 27.07.06.
10. Указ Президента РФ от 20.01.94, № 170 "Об основах государственной
политики в сфере информатизации" //Собрание актов Президента и
Правительства РФ. 1994. № 4. Ст. 305.
11. Постановление Правительства от 26.06.95 № 608 "Положение о
сертификации средств защиты информации" //Там же. № 27. Ст. 2579.
12. Положение о лицензировании деятельности предприятий, учреждений и
организаций по проведению работ, связанных с использованием сведений,
составляющих государственную тайну, созданием средств защиты
информации, а также с осуществлением мероприятий и (или) оказанием
услуг по защите государственной тайны. Утверждено постановлением
Правительства РФ от 15.04.95 № 333 //Собрание законодательства
Российской Федерации. 1995. № 17. Ст. 1540.
13. Постановление Правительства РФ от 04.09.95 № 870 "Правила отнесения
сведений, составляющих государственную тайну, к различным степеням
ответственности" //Собрание законодательства Российской Федерации.
1995. № 3. Ст. 3619.
14. Гражданский кодекс Российской Федерации от 22.12.95 //Собрание
законодательства Российской Федерации. 1996. № 5. Ст. 410.
15. Уголовный кодекс Российской Федерации от 24.05.96 //Там же. 1996. № 25.
Ст. 155.
16. Постановление Правительства РСФСР от 5 декабря 1991 г. № 35 "О перечне
сведений, которые не могут составлять коммерческую тайну" //Частный
сыск и охрана. № 4. М.: Московская правда, 1993.
49
50
Документ
Категория
Без категории
Просмотров
22
Размер файла
703 Кб
Теги
sertifiksrzasch, 2014
1/--страниц
Пожаловаться на содержимое документа