Организация технической защиты информации

Размещено на http://www.allbest.ru/

Организация технической защиты информации



Учебные вопросы

1. Система защиты информации и этапы ее построения

2. Основные организационно-технических мероприятия по защите информации

2.1 Лицензирование деятельности по технической защите информации

2.1.1 Общий порядок лицензирования

2.1.2 Лицензирование деятельности в области технической защиты информации

2.1.3 Контроль за соблюдением лицензионных требований и условий

2.2 Сертификация технических средств защиты информации

2.2.1 Общий порядок сертификации средств защиты информации

2.2.2 Порядок сертификации во ФСТЭК России

2.2.3 Основные этапы сертификации

2.3 Аттестация объекта информатизации

3. Организационно-технические мероприятия и технические способы защиты информации выделенного защищаемого помещения



1. Система защиты информации и этапы ее построения

Для защиты информации создается система защиты информации, состоящая из совокупности органов и (или) исполнителей, используемой ими техники защиты, организованная и функционирующая по правилам, установленным правовыми, распорядительными и нормативными документами в области защиты информации [18-23].

Государственную систему защиты информации образуют:

· Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и ее центральный аппарат;

· ФСБ, МО, СВР, МВД, их структурные подразделения по защите информации;

· структурные и межотраслевые подразделения по защите информации органов государственной власти;

· специальные центры ФСТЭК России;

· организации по защите информации органов государственной власти;

· головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские учреждения;

· предприятия оборонных отраслей промышленности, их подразделения по защите информации;

· предприятия, специализирующиеся на проведении работ в области защиты информации;

· вузы, институты по подготовке и переподготовке специалистов в области защиты информации.

ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

· обеспечения безопасности информации в ключевых системах информационной инфраструктуры;

· противодействия иностранным техническим разведкам;

· обеспечения защиты информации, содержащей государственную тайну, некриптографическими способами;

· предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней;

· предотвращения специальных воздействий на информацию (ее носители) с целью ее добывания, уничтожения, искажения и блокирования доступа к ней.

Руководство деятельностью ФСТЭК России осуществляет президент РФ.

Непосредственное руководство работами по защите информации осуществляют руководители органов государственной власти и их заместители.

В органе государственной власти могут создаваться технические комиссии, межотраслевые советы.

Головные и ведущие НИО органов государственной власти разрабатывают научные основы и концепции, проекты нормативно-технических и методических документов по защите информации. На них возлагается разработка и корректировка моделей иностранных технических разведок.

Предприятия, занимающиеся деятельностью в области защиты информации, должны получить лицензию на этот вид деятельности. Лицензии выдаются ФСТЭК России, ФСБ, СВР в соответствии с их компетенцией и по представлению органа государственной власти.

Организация работ по защите информации возлагается на руководителей организаций. Для методического руководства и контроля за обеспечением защиты информации может быть создано подразделение по защите информации или назначен ответственный (штатный или внештатный) за безопасность информации.

Разработка системы ЗИ производится подразделением по технической защите информации или ответственным за это направление во взаимодействии с разработчиками и ответственными за эксплуатацию объектов ТСОИ. Для проведения работ по созданию системы ЗИ могут привлекаться на договорной основе специализированные предприятия, имеющие соответствующие лицензии.

Работы по созданию системы ЗИ проводятся в три этапа (см. рис. 4.3).

На I этапе разрабатывается техническое задание на создание СЗИ:

· вводится запрет на обработку секретной (служебной) информации на всех объектах ТСОИ до принятия необходимых мер защиты;

· назначаются ответственные за организацию и проведение работ по созданию системы защиты информации;

· определяются подразделения или отдельные специалисты, непосредственно участвующие в проведении указанных работ, сроки введения в эксплуатацию системы ЗИ;

· проводится анализ возможных технических каналов утечки секретной информации;

· разрабатывается перечень защищаемых объектов ТСОИ;

· проводится категорирование ОТСС, а также ВП;

· определяется класс защищенности автоматизированных систем, участвующих в обработке секретных (служебных) данных;

· определяется КЗ;

· оцениваются возможности средств ИТР и других источников угроз;

· обосновывается необходимость привлечения специализированных предприятий для создания системы защиты информации;

· разрабатывается техническое задание (ТЗ) на создание СЗИ.

Разработка технических проектов на установку и монтаж ТСОИ производится проектными организациями, имеющими лицензию ФСТЭК.

На II этапе:

· разрабатывается перечень организационных и технических мероприятий по защите объектов ТСОИ в соответствии с требованиями ТЗ;

· определяется состав серийно выпускаемых в защищенном исполнении ТСОИ, сертифицированных средств защиты информации, а также состав технических средств, подвергаемых специальным исследованиям и проверке; разрабатываются технические паспорта на объекты ТСОИ и инструкции по обеспечению безопасности информации на этапе эксплуатации технических средств.

На III этапе осуществляются:

· проведение специальных исследований и специальной проверки импортных ОТСС, а также импортных ВТСС, установленных в выделенных помещениях;

· размещение и монтаж технических средств, входящих в состав объектов ТСОИ;

· разработка и реализация разрешительной системы доступа к средствам вычислительной техники и автоматизированным системам, участвующим в обработке секретной (служебной) информации;

· приемосдаточные испытания системы защиты информации по результатам ее опытной эксплуатации;

· аттестация объектов ТСОИ по требованиям защиты информации.

Вводится разрешение на обработку секретной информации на объектах ТСОИ, на которые получены аттестаты.



Рис. 4.3. Этапы построения системы защиты информации



2. Основные организационно-технических мероприятия по защите информации

Основными организационно-техническими мероприятиями, которые проводятся государственной системой защиты информации, следует считать:

· государственное лицензирование деятельности предприятий в области защиты информации;

· аттестация объектов информации по требованиям безопасности информации, предназначенная для оценки подготовленности систем и средств информатизации и связи к обработке информации, содержащей государственную, служебную или коммерческую тайну;

· сертификация систем защиты информации;

· категорирование предприятий, выделенных помещений и объектов вычислительной техники по степени важности обрабатываемой информации.

Последовательность и содержание организации комплексной защиты информации представлена на рис. 4.4.

К организационно-техническим мероприятиям, проводимым государственной системой защиты информации, также относятся:

· введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах эксплуатации технических средств, подлежащих защите;

· создание и применение информационных и автоматизированных систем управления в защищенном исполнении;

· разработка и внедрение технических решений и элементов защиты информации при создании вооружения и военной техники и при проектировании, строительстве и эксплуатации объектов информатизации, систем и средств автоматизации и связи.



Рис. 4.4. Примерная схема контроля защиты информации

Лицензирование в области защиты информации

Лицензированием в области защиты информации называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Государственная политика в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности» (в ред. Постановлений Правительства РФ от 05.05.95 № 450, от 03.06.95 № 549, от 07.08.95 № 796, от 12.10.95 № 1001, от 22.04.97 № 462, от 01.12.97 № 1513, также см. постановление от 11.02.02 № 135).

Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.

Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом.

Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют:

· государственные органы по лицензированию;

· лицензионные центры;

· предприятия-заявители.

Государственные органы по лицензированию:

· организуют обязательное государственное лицензирование деятельности предприятий;

· выдают государственные лицензии предприятиям-заявителям;

· согласовывают составы экспертных комиссий, представляемые лицензионными центрами;

· осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации.

Лицензионные центры:

· формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ;

· планируют и проводят работы по экспертизе предприятий-заявителей;

· контролируют полноту и качество выполненных лицензиатами работ.

Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.

Лицензированию ФСТЭК России подлежат:

· сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности;

· аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации;

· разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических средств защиты и контроля эффективности мер защиты информации, защищенных программных средств обработки, защиты и контроля защищенности информации;

· проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ;

· проектирование объектов в защищенном исполнении.

На орган по лицензированию возлагается:

· разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования;

· осуществление научно-методического руководства лицензионной деятельностью;

· публикация необходимых сведений о системе лицензирования;

· рассмотрение заявлений организаций и воинских частей о выдаче лицензий;

· согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации;

· согласование состава экспертных комиссий;

· организация и проведение специальных экспертиз;

· принятие решения о выдаче лицензии;

· выдача лицензий;

· принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании;

· ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий;

· приобретение, учет и хранение бланков лицензий;

· организация работы аттестационных центров;

· осуществление контроля за полнотой и качеством проводимых лицензиатами работ.

В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями, введенными Федеральным законом от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области защиты информации):

· деятельность по распространению шифровальных (криптографических) средств;

· деятельность по техническому обслуживанию шифровальных (криптографических) средств;

· предоставление услуг в области шифрования информации;

· разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

· деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации;

· деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них:

· Постановление Правительства Российской Федерации от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности»; Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 31.08.2006 № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 23.09.2002 № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности.

2.1 Лицензирование деятельности по технической защите информации

2.1.1 Общий порядок лицензирования

Лицензирование деятельности в области защиты информации представляет собой определенную форму государственного контроля и должно обеспечить не только допуск организаций, соответствующих определенным требованиям и условиям, к осуществлению определенных видов деятельности, но и повышение качества непосредственно мероприятий и услуг по технической защите информации.

Государственная система лицензирования деятельности в области технической защиты информации включает в себя две составляющие:

· допуск предприятий и организаций к оказанию услуг по защите информации;

· контроль качества и эффективности оказываемых услуг в процессе их деятельности.

Рассмотрим основные понятия в области лицензирования.

Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

Лицензируемый вид деятельности - вид деятельности, на осуществление которого на территории Российской Федерации требуется получение лицензии.

Лицензирование - мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением действия лицензий в случае административного приостановления деятельности лицензиатов за нарушение лицензионных требований и условий, возобновлением или прекращением действия лицензий, аннулированием лицензий, контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий, ведением реестров лицензий, а также с предоставлением в установленном порядке заинтересованным лицам сведений из реестров лицензий и иной информации о лицензировании.

Лицензионные требования и условия - совокупность установленных положениями о лицензировании конкретных видов деятельности требований и условий, выполнение которых лицензиатом обязательно при осуществлении лицензируемого вида деятельности.

Лицензирующие органы - федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование в соответствии с ФЗ "О лицензировании отдельных видов деятельности" от 8 августа 2001г.

Лицензиат - юридическое лицо или индивидуальный предприниматель, имеющие лицензию на осуществление конкретного вида деятельности;

Соискатель лицензии - юридическое лицо или индивидуальный предприниматель, обратившиеся в лицензирующий орган с заявлением о предоставлении лицензии на осуществление конкретного вида деятельности.

Реестр лицензий - совокупность данных о предоставлении лицензий, переоформлении документов, подтверждающих наличие лицензий, приостановлении и возобновлении действия лицензий и об аннулировании лицензий.

Срок действия лицензии не может быть более 5 лет. По истечении этого срока лицензия может быть продлена по заявлению лицензиата.

Порядок получения лицензии следующий:

Соискатель лицензии отправляет в лицензирующий орган заявление о предоставлении лицензии, в котором указываются:

· для юридического лица: полное и сокращенное наименование и организационно-правовая форма, адреса, где планируется ведениелицензируемого вида деятельности, государственный регистрационный номер записи о создании юр.лица и данные документа, подтверждающего внесение в реестр юридических лиц РФ.

· для индивидуального предпринимателя: полное ФИО, место жительства, адреса мест, где планируется ведение лицензируемой деятельности, данные документа, удостоверяющего личность (например, паспорта), государственный регистрационный номер записи о регистрации и данные документа, подтверждающего факт внесения сведений об индивидуальном предпринимателе в единый государственный реестр индивидуальных предпринимателей.

· ИНН и данные документа, подтверждающего постановку соискателя на учет в налоговом органе.

· лицензируемый вид деятельности.

К заявлению соискатель должен приложить следующие документы:

· копии учредительных документов (для юридического лица);

· документ, подтверждающий уплату государственной пошлины за рассмотрение лицензирующим органом заявления о предоставлении лицензии;

· копии документов, перечень которых определяется положением о лицензировании конкретного вида деятельности и которые свидетельствуют о наличии у соискателя лицензии возможности выполнения лицензионных требований и условий, в том числе документов, наличие которых при осуществлении лицензируемого вида деятельности предусмотрено федеральными законами.

Решение о предоставлении лицензии (или отказе) принимается в срок, не превышающий 5 дней со дня поступления документов. Уведомление о принятии решения вручается или отправляется соискателю в письменной форме. Если решение отрицательное, должны указываться причины отказа и реквизиты акта проверки возможности выполнения соискателем лицензии лицензионных требований и условий, если причиной отказа является невозможность выполнения соискателем лицензии указанных требований и условий. Соискатель лицензии должен заплатить государственную пошлину за получение лицензии и в течение трех дней после оплаты может получить лицензию.

Причинами отказа в получении лицензии могут быть:

· наличие в документах, представленных соискателем лицензии, недостоверной или искаженной информации;

· несоответствие соискателя лицензии, принадлежащих ему или используемых им объектов лицензионным требованиям и условиям.

Перечислим пункты, которые должны содержать решение о предоставлении лицензии и в документе, подтверждающем наличие лицензии:

· наименование лицензирующего органа;

· полное и (в случае, если имеется) сокращенное наименование, в том числе фирменное наименование, и организационно-правовая форма юридического лица, место его нахождения, адреса мест осуществления лицензируемого вида деятельности, государственный регистрационный номер записи о создании юридического лица;

· ФИО индивидуального предпринимателя, место его жительства, адреса мест осуществления лицензируемого вида деятельности, данные документа, удостоверяющего его личность, основной государственный регистрационный номер записи о государственной регистрации индивидуального предпринимателя;

· лицензируемый вид деятельности;

· срок действия лицензии;

· ИНН;

· номер лицензии;

· дата принятия решения о предоставлении лицензии.

Лицензирующий орган в праве приостановить действие лицензии или аннулировать ее. Приостановление действия лицензии осуществляется по решению суда в случае выявления нарушений лицензионных требований и условий в течение суток со дня принятия судом решение. Действие лицензии возобновляется, если лицензиат уведомляет в письменном виде об устранении нарушений. Если лицензиат не устраняет нарушения в установленный судом срок, лицензирующий орган может обратиться в суд, по решению которого лицензия может быть аннулирована.

Действие лицензии прекращается в следующих случаях:

· ликвидация юридического или физического лица.

· окончание срока действия лицензии или принятие решения о досрочном прекращении действия лицензии на основании представленного в лицензирующий орган заявления в письменной форме лицензиата.

· решение суда об аннулировании лицензии.

Лицензирующие органы обязаны вести специальные реестры лицензий на виды деятельности, лицензирование которых они осуществляют. В реестре указывается следующая информация:

· полное и (в случае, если имеется) сокращенное наименование, в том числе фирменное наименование, и организационно-правовая форма юридического лица, место его нахождения, адреса мест осуществления лицензируемого вида деятельности, государственный регистрационный номер записи о создании юридического лица;

· фамилия, имя и (в случае, если имеется) отчество индивидуального предпринимателя, место его жительства, адреса мест осуществлениялицензируемого вида деятельности, данные документа, удостоверяющего его личность, основной государственный регистрационный номер записи о государственной регистрации индивидуального предпринимателя;

· лицензируемый вид деятельности (с указанием выполняемых работ и оказываемых услуг при осуществлении видов деятельности, указанных в пункте 2 статьи 17 настоящего Федерального закона);

· срок действия лицензии;

· идентификационный номер налогоплательщика;

· номер лицензии;

· дата принятия решения о предоставлении лицензии;

· сведения о регистрации лицензии в реестре лицензий;

· основание и срок приостановления и возобновления действия лицензии;

· основание и дата аннулирования лицензии;

· основание и срок применения упрощенного порядка лицензирования;

· сведения об адресах мест осуществления лицензируемого вида деятельности;

· сведения о выдаче документа, подтверждающего наличие лицензии;

· основание и дата прекращения действия лицензии;

· иные сведения, определенные положениями о лицензировании конкретных видов деятельности.

Информация из реестра лицензий является открытой для физических и юридических лиц. Выписку можно получить за установленную плату в 10 рублей в течение трех дней после подачи заявления.

Перечислим виды деятельности, относящиеся к защите информации, на осуществление которых требуется получение лицензии:

· деятельность по распространению шифровальных (криптографических) средств;

· деятельность по техническому обслуживанию шифровальных (криптографических) средств;

· предоставление услуг в области шифрования информации;

· разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

· деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

· деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

· деятельность по технической защите конфиденциальной информации;

· разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.

Важным пунктом в контексте данного курса является необходимость получения лицензии на осуществление деятельности по технической защите конфиденциальной информации.

2.1.2 Лицензирование деятельности в области технической защиты информации

Лицензирование деятельности по технической защите конфиденциальной информации осуществляет ФСТЭК России. Для получения лицензии соискателю необходимо выполнить следующие требования и условия:

1.наличие в штате специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;

2.наличие у соискателя лицензии помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;

3.наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

4.использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

5.использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;

6.наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю [4.3]

Для получения лицензии соискатель отправляет в ФСТЭК документы, рассмотренные в предыдущем разделе данной лекции. Помимо этих документов, соискатель обязан предоставить следующее:

1.копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств);

2.копии документов, подтверждающих право собственности, право хозяйственного ведения или оперативного управления на помещения, предназначенные для осуществления лицензируемой деятельности, либо копии договоров аренды указанных помещений или безвозмездного пользования ими;

3.копии аттестатов соответствия защищаемых помещений требованиям безопасности информации;

4.копии технического паспорта автоматизированной системы с приложениями, акта классификации автоматизированной системы по требованиям безопасности информации, плана размещения основных и вспомогательных технических средств и систем, аттестата соответствия автоматизированной системы требованиям безопасности информации или сертификата соответствия автоматизированной системы требованиям безопасности информации, а также перечень защищаемых в автоматизированных системах ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описание технологического процесса обработки информации в автоматизированной системе;

5.копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и базы данных;

6.сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования;

7.сведения об имеющихся у соискателя лицензии нормативных правовых актах, нормативно-методических и методических документах по вопросам технической защиты информации[4.3]

ФСТЭК проверяет комплектность предоставленных документов, полноту и достоверность указанных в них сведений. Если каких-то сведений (документов) не хватает, ФСТЭК в течение 15 дней уведомляет об этом соискателя. В срок, не превышающий 45 дней после получения документов от соискателя, ФСТЭК принимает решение о выдаче лицензии. Решение оформляется соответствующим актом ФСТЭК.

Лицензия выдается на 5 лет , и после окончания этого срока может быть продлена по заявлению лицензиата.

2.1.3 Контроль за соблюдением лицензионных требований и условий

Функция контроля за соблюдением лицензиатом лицензионных требований и условий осуществляет лицензирующий орган, то есть в случае технической защиты конфиденциальной информации - ФСТЭК. Способом контроля являются плановые и внеплановые проверки, которые проводятся в порядке, установленным ФЗ-№294 "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".

Целью плановой проверки является проверка соблюдения лицензиатом лицензионных требований и условий в процессе осуществления деятельности по технической защите конфиденциальной информации. В отношении одного юридического лица или индивидуального предпринимателя она может проводиться не чаще одного раза в течение трех лет. Плановые проверки осуществляются в соответствии с ежегодным планом проверок, который публикуется на официальном сайте ФСТЭК России.

Лицензиат включается в плановую проверку в случае истечения трех лет со дня:

· государственной регистрации лицензиата;

· окончания проведения последней плановой проверки лицензиата.

Лицензиат уведомляется не позднее трех рабочих дней до проведения проверки.

Предметом внеплановой проверки является соблюдение лицензиатом лицензионных требований и условий, выполнение предписаний об устранении выявленных нарушений, проведение мероприятий по обеспечению безопасности государства.

Основанием для проведения внеплановой проверки является:

1. истечение срока исполнения ранее выданного лицензиату предписания об устранении выявленного нарушения лицензионных требований и условий;

2. поступление в ФСТЭК России обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:

o возникновения угрозы причинения вреда безопасности государства;

o причинение вреда безопасности государства.

Плановая и внеплановые проверки проводятся в документарной или выездной формах. Документарная проверка проверяет документы лицензиата и осуществляется по месту нахождения ФСТЭК. В ходе выездной проверки проверяются не только документы лицензиата, но и соответствие его лицензионным требованиям и условиям.

Срок проведения каждой из проверок не может превышать 20 рабочих дней. По результатам проверки составляется акт в двух экземплярах, к которому прилагаются протоколы (заключения) проведенных исследований (испытаний) и экспертиз.

Подводя итог, можно сказать, что процесс получения лицензии на техническую защиту конфиденциальной информации является весьма трудоемким, длительным и, что не маловажно, затратным, ведь для получения лицензии необходимо выполнить все лицензионные требования и условия. Самым продолжительным по времени является обучение специалистов на курсах повышения квалификации. Несмотря на то, что количество организаций, имеющих дело с конфиденциальной информацией, достаточно велико, специалистов с высшим профессиональным образованием в области ТЗИ может позволить себе далеко не каждая из них. Частные курсы по повышению квалификации, утвержденные ФСТЭК, как правило, рассчитаны на 72 часа. Самым затратным в экономическом плане требованием является проведение аттестации объектов информатизации (автоматизированной системы и защищенного помещения), предназначенных для обработки конфиденциальной информации. Более того, возникает проблема приобретения контрольно-измерительного оборудования, которое после аттестации вообще не нужно, если только организация не собирается оказывать услуги по аттестации объектов информатизации. Альтернативный вариант - взять такое оборудование в аренду, но это тоже стоит денег. Таким образом, продолжительность процесса лицензирования может занять от 2 до 6 месяцев и повлечь за собой значительные материальные затраты. Вариантом решения данной проблемы является аутсорсинг. Аутсорсинг (от англ. outsourcing) дословно "использование внешних источников". Аутсорсинг предполагает передачу от компании-заказчика сторонней организации(подрядчику) определенных функций уставной деятельности, например, техническую защиту конфиденциальной информации. При этом подрядчик использует свои программные, технические и другие средства защиты, лицензии, аттестаты и т.п., а также несет ответственность за результат выполнения своей работы.

2.2 Сертификация технических средств защиты информации

Сертификация - процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям.

Закон «О сертификации продукции и услуг» (в ред. Федеральных законов от 27.12.95 № 211-ФЗ, от 02.03.98 № 30-ФЗ, от 31.07.98 № 154-ФЗ) устанавливает правовые основы обязательной и добровольной сертификации продукции, услуг и иных объектов (далее - продукция) в Российской Федерации, а также права, обязанности и ответственность участников сертификации.

Сертификация осуществляется в целях:

· создания условий для деятельности организаций и предпринимателей на едином товарном рынке Российской Федерации, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле;

· содействия потребителям в компетентном выборе продукции;

· защиты потребителя от недобросовестности изготовителя (продавца, исполнителя);

· контроля безопасности продукции для окружающей среды, жизни, здоровья и имущества;

· подтверждения показателей качества продукции, заявленных изготовителем.

Сертификация может иметь обязательный и добровольный характер.

Под сертификацией средств защиты информации понимается деятельность по подтверждению соответствия этих средств требованиям государственных стандартов или иных нормативных документов по защите информации.

К средствам защиты информации относятся технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, используемые в управлении экологически опасными объектами.

Организационную структуру системы сертификации образуют:

· центральный орган системы сертификации (возглавляет систему сертификации однородных средств защиты информации);

· федеральный орган по сертификации средств защиты информации;

· органы по сертификации средств защиты информации (проводят сертификацию средств защиты информации);

· испытательные лаборатории (проводят сертификационные испытания средств защиты информации);

· заявители (разработчики, изготовители, поставщики, потребители средств защиты информации).

2.2.1 Общий порядок сертификации средств защиты информации

Сертификация средств защиты информации производится в соответствии с "Положением о сертификации средств защиты информации", утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 г.

Cертификация - форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров. информация лицензирование сертификация

Cертификат соответствия - документ, удостоверяющий соответствие объекта требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации .

Система сертификации средств защиты информации представляет собой совокупность участников сертификации, которыми являются:

· федеральный орган по сертификации;

· центральный орган системы сертификации - орган, возглавляющий систему сертификации однородной продукции;

· органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;

· испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;

· изготовители - продавцы, исполнители продукции.

Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации. Целью аккредитации является проверка возможности выполнения работ по сертификации средств защиты информации. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.

Федеральный орган по сертификации осуществляет следующее:

· создает системы сертификации;

· осуществляет выбор способа подтверждения соответствия средств защиты информации требованиям нормативных документов;

· устанавливает правила аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации и испытательных лабораторий;

· определяет центральный орган для каждой системы сертификации;

· выдает сертификаты и лицензии на применение знака соответствия;

· ведет государственный реестр участников сертификации и сертифицированных средств защиты информации;

· осуществляет государственные контроль и надзор за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации, а также устанавливает порядок инспекционного контроля;

· рассматривает апелляции по вопросам сертификации;

· представляет на государственную регистрацию в Комитет Российской Федерации по стандартизации, метрологии и сертификации системы сертификации и знак соответствия;

· устанавливает порядок признания зарубежных сертификатов;

· приостанавливает или отменяет действие выданных сертификатов.

Центральный орган системы сертификации:

· организует работы по формированию системы сертификации и руководство ею, координирует деятельность органов по сертификации средств защиты информации и испытательных лабораторий, входящих в систему сертификации;

· ведет учет входящих в систему сертификации органов по сертификации средств защиты информации и испытательных лабораторий, выданных ианнулированных сертификатов и лицензий на применение знака соответствия;

· обеспечивает участников сертификации информацией о деятельности системы сертификации.

При отсутствии в системе сертификации центрального органа его функции выполняются федеральным органом по сертификации

Органы по сертификации средств защиты информации:

· сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в федеральные органы по сертификации и ведут их учет;

· приостанавливают либо отменяют действие выданных ими сертификатов и лицензий на применение знака соответствия;

· принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;

· формируют фонд нормативных документов, необходимых для сертификации;

· представляют изготовителям по их требованию необходимую информацию в пределах своей компетенции.

Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют заключения и протоколы, которые направляют в соответствующий орган по сертификации средств защиты информации и изготовителям . Испытательные лаборатории несут ответственность за полноту испытаний средств защиты информации и достоверность их результатов.

Изготовители:

· производят (реализуют) средства защиты информации только при наличии сертификата;

· извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;

· маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации;

· указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя;

· применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для данной системы сертификации;

· обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации;

· обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих сертификацию, и контроль за сертифицированными средствами защиты информации;

· прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены.

Процедура сертификации включает:

1. подачу и рассмотрение заявки на проведение сертификации (продления срока действия) средства защиты информации в Федеральный орган по сертификации. Заявка оформляется на бланке заявителя и заверяется печатью. Федеральный орган назначает орган по сертификации и испытательную лабораторию, после чего заявитель отправляет туда сертифицируемое средство защиты информации.

2. сертификационные испытания средств защиты информации и (при необходимости) аттестацию их производства. Сроки проведения испытаний устанавливаются на договорной основе между заявителем и лабораторией. По результатам испытаний оформляется заключение, которое отправляется в орган по сертификации и заявителю.

3. экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия. На основании заключения испытательной лаборатории орган сертификации делает заключение и отправляет его в Федеральный орган по сертификации. После присвоения сертификату регистрационного номера, его получает заявитель. Срок действия сертификата - 3 года.

4. осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации. По результатам контроля Федеральный орган по сертификации может приостановить или аннулировать сертификат в следующих случаях:

o изменения на законодательном уровне, касающиеся требований к средствам защиты информации, методам испытаний и контроля;

o изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;

o невыполнение требований технологии изготовления, контроля и испытаний средств защиты информации;

o несоответствие сертифицированных средств защиты информации техническим условиям или формуляру, выявленное в ходе государственного или инспекционного контроля;

o отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за соблюдением правил сертификации и за сертифицированными средствами защиты информации.

5. информирование о результатах сертификации средств защиты информации;

6. рассмотрение апелляций. Апелляция подается в федеральный орган по сертификации и рассматривается в месячный срок с участием независимых экспертов и заинтересованных сторон.

Сертификация импортных средств защиты информации проводится по тем же правилам, что и отечественных.

Основными схемами проведения сертификации средств защиты информации являются:

· единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;

· для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированныхсредств защиты информации, определяющих выполнение этих требований.

В отдельных случаях по согласованию с органом по сертификации средств защиты информации допускается проведение испытаний на испытательной базе изготовителя. Сроки проведения испытаний устанавливаются договором между изготовителем и испытательной лабораторией.

При несоответствии результатов испытаний требованиям нормативных и методических документов по защите информации орган по сертификациисредств защиты информации принимает решение об отказе в выдаче сертификата и направляет изготовителю мотивированное заключение.

В случае несогласия с отказом в выдаче сертификата изготовитель имеет право обратиться в центральный орган системы сертификации, федеральный орган по сертификации или в Межведомственную комиссию для дополнительного рассмотрения полученных при испытаниях результатов [5.1].

Оплата работ по сертификации конкретных средств защиты информации осуществляется на основании договоров между участниками сертификации.

Инспекционный контроль за сертифицированными средствами защиты информации осуществляют органы, проводившие сертификацию этих средств защиты информации.

Органы по сертификации и испытательные лаборатории несут ответственность за выполнение своих функций, обеспечение сохранности информации ограниченного доступа, материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав разработчика при испытаниях его средств защиты информации.

Основными органами сертификации в области технической защиты информации являются ФСБ России и ФСТЭК России. При этом ФСБ России действует в области криптографической защиты информации, а ФСТЭК России - в области технической защиты информации некриптографическими методами. Требования по сертификации ФСБ России являются закрытыми, ознакомление с ними предполагает наличие специальных допусков, требования ФСТЭК России публикуются на официальном сайте и являются публичными.

2.2.2 Порядок сертификации во ФСТЭК России

...