Получение лицензии фстэк на техническую защиту конфиденциальной информации: основные положения. Процесс получения лицензии на осуществление деятельности по защите информации

Лицензированием в области защиты информации называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Государственная политика в области лицензирования отдельных видов деятельности и обеспечения защиты жизненно важных интересов личности, общества и государства определяется Постановлением Правительства Российской Федерации от 24 декабря 1994 г. № 1418 «О лицензировании отдельных видов деятельности» (в ред. Постановлений Правительства РФ от 05.05.95 № 450, от 03.06.95 № 549, от 07.08.95 № 796, от 12.10.95 № 1001, от 22.04.97 № 462, от 01.12.97 № 1513, также см. постановление от 11.02.02 № 135).

Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.

Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом.

Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют:

· государственные органы по лицензированию;

· лицензионные центры;

· предприятия-заявители.

Государственные органы по лицензированию:

· организуют обязательное государственное лицензирование деятельности предприятий;

· выдают государственные лицензии предприятиям-заявителям;

· согласовывают составы экспертных комиссий, представляемые лицензионными центрами;

· осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации.

Лицензионные центры:

· формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ;

· планируют и проводят работы по экспертизе предприятий-заявителей;

· контролируют полноту и качество выполненных лицензиатами работ.

Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.

Лицензированию ФСТЭК России подлежат:

· сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности;

· аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации;

· разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических средств защиты и контроля эффективности мер защиты информации, защищенных программных средств обработки, защиты и контроля защищенности информации;

· проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ;

· проектирование объектов в защищенном исполнении.

На орган по лицензированию возлагается:

· разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования;

· осуществление научно-методического руководства лицензионной деятельностью;

· публикация необходимых сведений о системе лицензирования;

· рассмотрение заявлений организаций и воинских частей о выдаче лицензий;

· согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации;

· согласование состава экспертных комиссий;

· организация и проведение специальных экспертиз;

· принятие решения о выдаче лицензии;

· выдача лицензий;

· принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании;

· ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий;

· приобретение, учет и хранение бланков лицензий;

· организация работы аттестационных центров;

· осуществление контроля за полнотой и качеством проводимых лицензиатами работ.

В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями, введенными Федеральным законом от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области защиты информации):

· деятельность по распространению шифровальных (криптографических) средств;

· деятельность по техническому обслуживанию шифровальных (криптографических) средств;

· предоставление услуг в области шифрования информации;

· разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

· деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации;

· деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них:

· Постановление Правительства Российской Федерации от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности»; Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 31.08.2006 № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;

· Постановление Правительства Российской Федерации от 23.09.2002 № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности.

Для нормального функционирования систем электронного документооборота (ЭДО) необходимо разработать процедуры разрешения возможных конфликтов. Стороной таких конфликтов, кроме участников ЭДО и фирмы-провайдера, может быть и фирма-разработчик программного обеспечения.

Предполагается, что договор с фирмой-разработчиком учитывает наличие эталонного образца программного обеспечения, который может храниться только у фирмы - провайдера или у всех участников ЭДО. Для этого требуется выполнение двух основных условий:

должно быть документально подтверждено, что каждому участнику системы ЭДО (включая фирму - провайдер) установлено программное, соответствующее эталонному образцу;

хранение эталонных образцов организуется таким образом, чтобы исключить возможность изменения эталонного образца программного обеспечения без ведома сторон.

Такой режим может быть обеспечен системой из нескольких открытых ключей.

Сегодня, когда современные информационные технологии интенсивно внедряются во все сферы жизни и деятельности общества, национальная, и как ее часть экономическая безопасность государства начинает напрямую зависеть от обеспечения информационной безопасности. Именно поэтому с целью создания гарантий по обеспечению необходимой стойкости средств защиты информации государство берет на себя ответственность за лицензирование деятельности организаций, занимающихся защитой информации, и сертификацию соответствующих технических средств.

Сегодняшний уровень защиты от внешних информационных угроз в глобальных открытых сетях не может быть сочтен удовлетворительным: до сих пор в России отсутствует всеобъемлющая и технически выверенная стратегия в этой области. С целью изменения ситуации должен быть безотлагательно разработан и осуществлен комплекс мер в области законодательства и стандартизации средств, обеспечивающих информационную безопасность России. К первоочередным задачам в этом направлении относятся:

· принятие специального закона, аналогичного "Computer Security Act" в США, возлагающего на конкретные госструктуры ответственность за методологическую поддержку работ в области информационной безопасности;

· выработку унифицированных подходов к обеспечению безопасности для организаций различного профиля, размера и форм собственности;

· обеспечение появления на рынке достаточного числа разнообразных сертифицированных средств для решения задач информационной безопасности.

Одной из проблем в области защиты информации в России является отсутствие официальных документов с подробными рекомендациями по построению безопасных информационных систем, аналогичных разработанному, например, Американским институтом стандартных технологий (США) и британскому стандарту. Хотя в Великобритании не существует нормативных актов, требующих выполнения государственных стандартов, около 60% британских фирм и организаций добровольно используют разработанный стандарт, а остальные намерены внедрять его рекомендации в ближайшее время.

Лицензирование и сертификация в области систем обеспечения безопасности информации могут снизить остроту этой проблемы. Необходимо создание пользователю гарантий того, что используемые им средства защиты информации способны обеспечивать необходимый уровень защиты. Именно лицензирование может способствовать тому, что проблемой защиты информации будут заниматься только высококвалифицированные специалисты в этой области, а создаваемые ими продукты будут находиться на соответствующем уровне и смогут пройти сертификацию.

Без проведения сертификации невозможно оценить, содержит ли то или иное средство потенциально вредные недокументированные возможности, наличие которых особенно характерно для большинства зарубежных продуктов, способные в определенный момент привести к сбоям в работе системы и даже к необратимым для нее последствиям. Характерным примером таких недокументированных возможностей является заложенная фирмой Ericsson при разработке телефонных станций, на базе которых МПС РФ строит свою телефонную сеть, возможность блокировать их работу при получении вызова определенного телефонного номера, который фирма отказывается назвать. И этот пример не является единственным.

Процесс сертификации программного продукта занимает примерно столько же времени, сколько и его разработка, и практически невозможен без исходных текстов программ с комментариями. В то же время многие зарубежные фирмы не желают представлять исходные тексты своих программных продуктов в российские сертификационные центры. Например, несмотря на принципиальное согласие фирмы Microsoft на сертификацию в России ОC Windows NT, в которой уже выявлено более 50 ошибок, связанных с обеспечением безопасности, этот вопрос уже в течение многих месяцев не может сдвинуться с мертвой точки из-за отсутствия ее исходных текстов.

Трудности с сертификацией приводят к тому, что раньше других среди продуктов одного класса сертификат быстрее получают самые простые, в силу чего они кажутся пользователю более надежными. Длительные же сроки сертификации приводят к тому, что фирма-разработчик успевает вывести на рынок новую версию своего продукта, и процесс становится бесконечным.

Сертификацию технических средств защиты информации затруднительно проводить без соответствующих стандартов, создание которых в России не в последнюю очередь сдерживается из-за отсутствия финансовых средств. Эта проблема решается, если появляются несколько фирм, заинтересованных в сбыте, и несколько организаций, заинтересованных в использовании соответствующих технических средств. Например, плодом совместных усилий подобных организаций, фирм и ФСТЭК(ранее Гостехкомиссия (ГТК)) стала разработка Руководящего технического материала ГТК РФ "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". Он позволил классифицировать средства, которые способны в какой-то степени обеспечить защиту корпоративных сетей от внешних вторжений.

Документ предполагает существование нескольких классов межсетевых экранов: от простейших, позволяющих только осуществлять контроль потоков информации, до самых сложных, выполняющих полное перекодирование входящей информации, полностью защищающее корпоративную сеть от воздействий извне. Уже сегодня сертификацию на соответствие техническим условиям, разработанным в соответствии с Руководящим техническим материалом, что допускается действующим законодательством, прошли такие межсетевые экраны, как Sun Screen, SKIPbridge и Pandora. Однако и при их сертификации без борьбы не обошлось.

С учетом требований информационной безопасности и мировой практики деятельности в сфере защиты информации представляется целесообразным присоединение России к сложившимся системам международной стандартизации и сертификации информационных технологий, что на практике означает:

· приведение национальных и отраслевых стандартов в соответствие с международными;

· участие представителей России в международных системах сертификации (в том числе в сертификационных испытаниях);

· возможность признания в России международных сертификатов.

Кроме того, в соответствии с действующим законодательством, любая организация, занимающаяся сбором и обработкой персональных данных (например, операций с пластиковыми карточками), должна иметь лицензию на право заниматься подобной деятельностью и использовать для этого сертифицированные средства.

ФСТЭК России (бывшая Гостехкомиссия) разработана необходимая нормативная база в области защиты информации от несанкционированного доступа. Рассмотрим структуру основных руководящих документов.

1. «Защита от несанкционированного доступа к информации. Термины и определения» – устанавливает единый терминологический стандарт в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, являющийся обязательным для применения во всех видах документации.

2. «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» – описывает основные принципы, на которых базируется проблема защиты информации от несанкционированного доступа и ее отношение к общей проблеме безопасности информации. В концепции отражены следующие вопросы: определение несанкционированного доступа, основные принципы защиты, модель нарушителя в автоматизированных системах, основные способы несанкционированного доступа, основные направления обеспечения защиты, основные характеристики технических средств защиты, классификация автоматизированных систем, организация работ по защите. Указанная концепция предназначена для заказчиков, разработчиков и пользователей средств вычислительной техники и автоматизированных систем, основное назначение которых: обработка, хранение и передача защищаемой информации.

3. «Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации» – устанавливает классификацию контрольно-кассовых машин, автоматизированных кассовых систем, информационных технологий и требования по защите информации, связанной с налогообложением. В соответствии с этим документом устанавливается 2 класса контрольно-кассовых машин, автоматизированных кассовых систем и информационной техники. К первому классу относятся системы, обрабатывающие информацию о денежных оборотах на сумму до 350 минимальных размеров оплаты труда в сутки, а ко второму – на сумму свыше 350 минимальных размеров оплаты труда.

4. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» – регламентирует требования защищенности средств вычислительной техники от несанкционированного доступа, применяемые к общесистемным программным средствам и операционным системам. Здесь выделяются семь классов защищенности, которые подразделяются на четыре группы. Каждый класс содержит перечень необходимых для реализации механизмов защиты информации от несанкционированного доступа.

5. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» – классифицирует автоматизированные системы в зависимости от наличия в них информации различного уровня конфиденциальности, уровней полномочий субъектов доступа, режимов обработки данных по девяти классам и оговаривает совокупность требований к каждому из них. В зависимости от особенностей обработки информации в автоматизированных системах классы делятся на три группы.

6. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» – декларирует требования к различным классам межсетевых экранов. Всего выделяется пять классов защищенности межсетевых экранов. Классификация производится в зависимости от класса защищенности автоматизированных систем, для защиты которой используется межсетевой экран.

На основе руководящих документов и нормативной базы ФСТЭК России производится разработка, сертификация и использование средств защиты информации от несанкционированного доступа, а также лицензирование предприятий на право деятельности в области защиты информации на территории Российской Федерации.

· государственные органы по лицензированию;

· лицензионные центры;

· предприятия-заявители.

Государственные органы по лицензированию:

· организуют обязательное государственное лицензирование деятельности предприятий;

· выдают государственные лицензии предприятиям-заявителям;

· согласовывают составы экспертных комиссий, представляемые лицензионными центрами;

Лицензионные центры:

· планируют и проводят работы по экспертизе предприятий-заявителей;

· контролируют полноту и качество выполненных лицензиатами работ.

Лицензированию ФСТЭК России подлежат:

· проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ;

· проектирование объектов в защищенном исполнении.

На орган по лицензированию возлагается:

· разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования;

· осуществление научно-методического руководства лицензионной деятельностью;

· публикация необходимых сведений о системе лицензирования;

· рассмотрение заявлений организаций и воинских частей о выдаче лицензий;

· согласование состава экспертных комиссий;

· организация и проведение специальных экспертиз;

· принятие решения о выдаче лицензии;

· выдача лицензий;

· принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании;

· ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий;

· приобретение, учет и хранение бланков лицензий;

· организация работы аттестационных центров;

· осуществление контроля за полнотой и качеством проводимых лицензиатами работ.

· деятельность по распространению шифровальных (криптографических) средств;

· деятельность по техническому обслуживанию шифровальных (криптографических) средств;

· предоставление услуг в области шифрования информации;

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

"Дальневосточный государственный университет путей сообщения"

Кафедра "Гражданское, предпринимательское и транспортное право

Дисциплина: Правовое обеспечение информационной безопасности

Тема: Лицензирование и сертификация в области защиты информации

Выполнила студетн(тка)

Непомнящая Наталья Евгеньевна

Проверил:преподаватель кафедры:

Железняков Анатолий Михайлович.

Хабаровск

Введение

1. Лицензирование в области защиты информации

1.1 Лицензирующий орган - ФСТЭК России

1.2 Лицензирующий орган - ФСБ России

2. Сертификация в области защиты информации

2.1 Организационная структура системы сертификации

2.2 Порядок проведения сертификации

Заключение

Список литературы

Введение

1. Лицензирование в области защиты информации

1.1 Лицензирующий орган - ФСТЭК России

Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по разработке и производству СЗКИ (далее - лицензия), являются:

1.наличие в штате у соискателя лицензии не менее двух специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам разработки и (или) производства СЗИ; пользователь защита гарантия специалист

2.наличие помещений для осуществления лицензируемого вида деятельности, соответствующих требованиям технической и технологической документации, национальных стандартов и методических документов в ОЗИ и принадлежащих соискателю лицензии на праве собственности или на ином законном основании;

3.наличие на праве собственности или на ином законном основании необходимого для осуществления лицензируемого вида деятельности контрольно-измерительного оборудования (прошедшего в соответствии с законодательством РФ метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования;

4.наличие предназначенных для осуществления лицензируемого вида деятельности программ (в том числе программных средств разработки СЗКИ) для электронно-вычислительных машин и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании;

5.наличие принадлежащих соискателю лицензий на праве собственности или на ином законном основании, технической и технологической документации, документации, содержащей национальные стандарты, и методических документов, необходимых для осуществления лицензируемого вида деятельности в соответствии с утверждаемым ФСТЭК России перечнем;

6.наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки СЗКИ, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию

7.наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства СЗКИ, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции Кияев В., Граничин О.// Безопасность информационных систем// Национальный Открытый Университет «ИНТУИТ» * 2016 год //стр 105-106

1.2 Лицензирующий орган - ФСБ России

Лицензионными требованиями, предъявляемыми к соискателю лицензии, являются:

1Лиц наличие в штате у соискателя лицензии на основной работе согласно штатному расписанию следующего квалифицированного персонала:

2.руководитель и (или) лицо, уполномоченное руководить работами по лицензируемому виду деятельности, имеющие высшее профессиональное образование по направлению ИБ в соответствии с "Общероссийским классификатором специальностей" и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов), а также имеющие стаж в области проводимых работ по лицензируемому виду деятельности не менее 5 лет;

3.инженерно-технические работники (не менее двух человек), имеющие высшее профессиональное образование по направлению ИБ в соответствии с "Общероссийским классификатором специальностей" и (или) прошедшие переподготовку по этой специальности (нормативный срок - свыше 100 аудиторных часов);

4.наличие помещений для осуществления лицензируемого вида деятельности, соответствующих требованиям технической и технологической документации, национальных стандартов и методических документов в области ЗИ и принадлежащих соискателю лицензий на праве собственности или на ином законном основании;

5.наличие у соискателя лицензии на праве собственности или на ином законном основании, контрольно-измерительного оборудования (прошедшего в соответствии с законодательством РФ метрологическую поверку (калибровку) и маркирование), производственного, испытательного оборудования и иных объектов, необходимых для осуществления лицензируемого вида деятельности;

6.наличие предназначенных для осуществления лицензируемого вида деятельности программ (в том числе программных средств разработки СЗКИ) для электронно-вычислительных машин и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании;

7.наличие аттестованных по требованиям безопасности информации средств обработки информации, используемых для разработки и производства СЗКИ, в соответствии с требованиями по защите информации;

8.наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки СЗКИ, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию

9.наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства СЗКИ, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции Снытиков А.А. Лицензирование и сертификация в области защиты информации.-М:Гелиос АРВ,2012 //cтр 223-224

2. Сертификация в области защиты информации

2.1 Организационная структура системы сертификации

Организационную структуру системы сертификации образуют:

1.Гостехкомиссия России (федеральный орган по сертификации средств защиты информации);

2.центральный орган системы сертификации средств защиты информации;

3.органы по сертификации средств защиты информации;

4.испытательные центры (лаборатории);

5.заявители (разработчики, изготовители, поставщики, потребители средств защиты информации).

2Гостехкомиссия России в пределах своей компетенции осуществляет следующие функции:

1.создает систему сертификации средств защиты информации и устанавливает правила проведения сертификации конкретных видов средств защиты информации в этой системе;

2.организует функционирование системы сертификации средств защиты информации;

3.определяет перечень средств защиты информации, подлежащих обязательной сертификации в данной системе;

4.устанавливает правила аккредитации и выдачи лицензий на проведение работ по сертификации;

5.организует и финансирует разработку нормативных и методических документов системы сертификации средств защиты информации;

6.определяет центральный орган системы сертификации средств защиты информации (при его необходимости) или выполняет функции этого органа;

7.утверждает нормативные документы по безопасности информации, на соответствие которым проводится сертификация средств защиты информации в системе, и методические документы по проведению сертификационных испытаний;

8.аккредитует органы по сертификации и испытательные центры (лаборатории), выдает им лицензии на право проведения определенных видов работ;

9.ведет государственный реестр участников и объектов сертификации;

10.осуществляет государственный контроль и надзор и устанавливает порядок инспекционного контроля за соблюдением правил сертификации и за сертифицированными средствами защиты информации;

11.рассматривает апелляции по вопросам сертификации;

12.представляет на государственную регистрацию в Госстандарт России систему сертификации и знак соответствия;

13.организует периодическую публикацию информации о сертификации;

14.осуществляет взаимодействие с соответствующими уполномоченными органами других стран и международных организаций по вопросам сертификации, принимает решение о признании международных и зарубежных сертификатов;

15.организует подготовку и аттестацию экспертов - аудиторов;

16.выдает сертификаты и лицензии на применение знака соответствия;

17.приостанавливает либо отменяют действие выданных сертификатов.

2.2 Порядок проведения сертификации

Порядок проведения сертификации включает следующие действия:

подачу и рассмотрение заявки на сертификацию средств защиты информации; испытания сертифицируемых средств защиты информации и аттестация их производства;

экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия;

осуществление государственный контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации.

информирование о результатах сертификации средств защиты информации;

рассмотрение апелляций.

Подача и рассмотрение заявки на сертификацию средств защиты информации.

Заявитель для получения сертификата направляет в Гостехкомиссию России заявку (Приложение 1) на проведение испытаний с указанием схемы проведения сертификации, стандартов и иных нормативных документов, на соответствие требованиям которых должна проводиться сертификация.

Гостехкомиссия России в месячный срок после получения заявки направляет заявителю, в назначенные для проведения сертификации орган по сертификации и испытательный центр (лабораторию) решение на проведение сертификации (Приложении 2). По желанию заявителя орган по сертификации и испытательный центр (лаборатория) могут быть изменены.

После получения решения заявитель обязан представить в орган по сертификации и испытательный центр (лабораторию) средства защиты информации согласно ТУ на это средство, а также комплект технической и эксплуатационной документации, согласно нормативных документов по ЕСКД, ЕСПД на сертифицируемое средство защиты информации.

Испытания сертифицируемых средств защиты информации в испытательных центрах (лабораториях).

Испытания сертифицируемых средств защиты информации проводятся на образцах, конструкция, состав и технология изготовления которых должны быть такими же, как и у образцов, поставляемых потребителю, заказчику по программам и методикам испытаний, согласованным с заявителем и утвержденным органом по сертификации. Техническая и эксплуатационная документация на серийные средства защиты информации должна иметь литеру не ниже "О1" (по ЕСКД).

Количество образцов, порядок их отбора и идентификации должен соответствовать требованиям нормативных и методических документов на данный вид средства защиты информации.

В случае отсутствия на момент сертификации испытательных центров (лабораторий) орган по сертификации определяет возможность, место и условия проведения испытаний, обеспечивающих объективность их результатов.

Сроки проведения испытаний устанавливаются договором между заявителем и испытательным центром (лабораторией).

По просьбе заявителя его представителям должна быть предоставлена возможность ознакомиться с условиями хранения и испытаний образцов средств защиты информации в испытательном центре (лаборатории). Кияев В., Граничин О.// Безопасность информационных систем// Национальный Открытый Университет «ИНТУИТ» * 2016 год //стр 105-106

Результаты испытаний оформляются протоколами и заключением, которые направляются испытательным центром (лабораторией) органу по сертификации, а в копии - заявителю.

При внесении изменений в конструкцию (состав) средств защиты информации или технологию их производства, которые могут повлиять на характеристики средств защиты информации, заявитель (разработчик, изготовитель, поставщик) извещает об этом орган по сертификации. Последний принимает решение о необходимости проведения новых испытаний этих средств защиты информации.

Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.

Заключение

И так, это процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям. Если говорить о сертификации применительно к средствам защиты информации, то это деятельность по подтверждению их соответствия требованиям технических регламентов, национальных стандартов или иных нормативных документов по защите информации.

Саму систему сертификации представляет ФСТЭК России, которому подведомственны аккредитованные органы по сертификации средств защиты информации и испытательные лаборатории.

Вся система сертификации обеспечивает достижение прежде всего национальной безопасности в сфере информатизации. Не менее важным является формирование и осуществление единой научно - технической и промышленной политики в сфере информатизации. А так же содействие формированию рынка защищенных информационных технологий и средств их обеспечения, регулирование и контроль разработки, а также последующего производства средств защиты информации, помощь потребителям в компетентном выборе средств защиты информации, защита потребителя от недобросовестности исполнителя (продовца, изготовителя), подтверждение показателей качества продукции.

Лицензирование - мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением и возобновлением действия лицензий, аннулированием лицензий и контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий.

Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

Деятельность по лицензированию в области защиты информации выполняют ФСБ и ФСТЭК России. Рассмотрим лицензируемые виды деятельности в области защиты конфиденциальной информации.

ФСБ России:

1.Разработка и (или) производство средств защиты конфиденциальной информации (в пределах компетенции ФСБ)

2.Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность

3.Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)

4.Деятельность по распространению шифровальных (криптографических) средств

5.Деятельность по техническому обслуживанию шифровальных (криптографических) средств

6.Предоставление услуг в области шифрования информации

7.Разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.

Список литературы

1 . Кияев В., Граничин О. // Безопасность информационных систем// Национальный Открытый Университет "ИНТУИТ" * 2016 год //стр 105-106

2.Снытиков А.А. Лицензирование и сертификация в области защиты информации.-М:Гелиос АРВ,2012 //cтр 223-224

3.Система сертификации средств криптографической защиты информации:№ РОСС RU.0001.030001 от 15 ноября 2012 г.

4.Бумажков А.Кирина А.Лицензирование и сертификация в области защиты информации

5.Термины и определения в области информационной безопасности.Москва 2011г

Размещено на Allbest.ru

...

Подобные документы

Базовые принципы, которые должна обеспечивать информационная безопасность, ее нормативно-правовая база. Государственные органы РФ, контролирующие деятельность в области защиты информации, нормативные документы в данной области. Способы защиты информации.

реферат , добавлен 24.09.2014

Средства и методы решения различных задач по защите информации, предупреждения утечки, обеспечения безопасности защищаемой информации. Технические (аппаратные), программные, организационные, смешанные аппаратно-программные средства информационной защиты.

реферат , добавлен 22.05.2010

Нормативно-правовое обеспечение информационной безопасности в РФ. Правовой режим информации. Органы, обеспечивающие информационную безопасность РФ. Службы, организующие защиту информации на уровне предприятия. Стандарты информационной безопасности.

презентация , добавлен 19.01.2014

Основные способы несанкционированного доступа к информации в компьютерных системах и защиты от него. Международные и отечественные организационные, правовые и нормативные акты обеспечения информационной безопасности процессов переработки информации.

реферат , добавлен 09.04.2015

Информация, как важнейшая часть современной коммуникативной системы. Правовое регулирование в области безопасности информации. Нормативно-правовые документы, регулирующие защиту информации. Организационно-правовые формы защиты государственной тайны.

контрольная работа , добавлен 03.11.2009

Рекомендации по развитию малого бизнеса. Защита прав собственности, развитие рыночных институтов. Налоги и их администрирование. Лицензирование и система выдачи разрешений. Проверки, штрафы и наказания. Доступ к информации и открытость государства.

реферат , добавлен 31.05.2009

Цели осуществления лицензирования в области охраны окружающей среды и использования природных ресурсов. Перечень видов лицензий – документов, дающих право на пользование одним видом природного ресурса в установленном месте и на определенных условиях.

контрольная работа , добавлен 19.12.2012

Лицензирование как гражданско-правовой институт. Государственная программа приватизации государственных и муниципальных предприятий в России. Функции федеральной службы по надзору в сфере транспорта. Лицензирование предпринимательской деятельности.

Понятие об информации, информационных ресурсах, их место в современном праве. Признаки информации с ограниченным доступом. Правовой режим защиты, составляющей государственную, служебную, профессиональную тайну; обеспечения недоступности третьим сторонам.

реферат , добавлен 13.12.2013

Лицензирование как форма государственного регулирования. Порядок лицензирования деятельности банков и небанковских кредитно-финансовых организаций. Лицензирование деятельности по проектированию и строительству зданий и проведению инженерных изысканий.

Стремительный рост компьютеризации и увеличение объемов цифровой информации вынуждают повышать уровень безопасности. Это привело к активному развитию различных способов защиты данных, а также компаний, предлагающих услуги по сохранению конфиденциальности. При этом такая к такому виду деятельности допускаются только ограниченное число компаний.

Обязательность получения разрешения

Защита персональной и коммерческой информации — довольно деликатное и важное занятие. Без разрешения недопустимо оказывать такие услуги. В по защите информации нуждаются следующие виды мероприятий:

Разработка, производство и распространение шифровальных средств
Работа по технической защите информации, являющейся конфиденциальной
Обнаружение электронных средств, используемых негласного получения данных
Производство и разработка СЗКИ (средства защиты конфиденциальной информации)
Техническое обслуживание криптографических средств защиты информации, телекоммуникационных и информационных систем.

Исключением из этого является разработка шифровальных средств для личных нужд или . Также не требуется лицензия для ТО информационных и других систем, используемых для внутренней информации конкретной компании.

Для чего нужна лицензия на деятельность по технической (и иной) защите конфиденциальной информации, расскажем ниже.

Лицензия на деятельность по технической защите конфиденциальной информации

Основные задачи лицензирования

Стоит понимать, что уровень конфиденциальности информации может быть разным.

Для одних компаний утечка данных может лишь принести моральные неудобства, другие предприятия в результате этого потеряют возможность функционировать.
Также не стоит забывать о коммерческих секретах производства различных товаров. В случае их обнародования вероятно различное развитие событий.

Главной задачей лицензирования является пресечение некомпетентной деятельности. Соискатели лицензии должны соответствовать множеству критериев, гарантирующих качественное предоставление услуг по защите данных и добросовестное техническое обслуживание.

Данное видео расскажет о технологиях защиты информации:

Нормативная документация

Выдача лицензий регулируется рядом нормативных актов, законов и постановлений. Одним из главных документов является Федеральный закон №99 от 4 мая 2011 года «О лицензировании отдельных видов деятельности». Также к деятельности по защите информации применимы такие Постановления правительства РФ:

№ 45 от 26 января 2006
№ 532 от 31 августа 2006
№ 691 от 23 сентября 2002.

Также стоит ознакомиться с Постановление правительство РФ №1418 от 24.12.1994 года. Во всех этих документах предусмотрено детальное рассмотрение порядка получения разрешения и указаны условия его предоставления вместе с перечнем необходимых документов.

Порядок получения лицензии ФСТЭК России на техническую защиту конфиденциальной информации, написание заявление по этому поводу — все это описано далее.

Получение лицензии на осуществление деятельности по защите информации

Деятельность по защите информации требует соблюдения большого перечня условий и планомерной подготовки. После подачи заявление соискателя лицензии обязательно ждет экспертная проверка, состоящая из сотрудников ФСБ и ФСТЭК. Конкретный состав экспертной комиссии зависит от выбранного вида деятельности.

Заявление и место подачи документов

Заявление на предоставление лицензии, разрешающей вести деятельность по защите информации заполняется в установленной законом форме. Образец заявления предоставляют госорганы по лицензированию. Выдачей самих лицензий на деятельность по защите информации занимаются две организации:

Федеральная служба безопасности (ФСБ).
Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Основная масса заявлений подается в ФСБ, они обеспечивают большую часть видов деятельности. В компетенции ФСТЭК находится контроль за производством и разработкой специализированных средств защиты конфиденциальной информации.

Требуемые условия для лицензирования деятельности по технической защите конфиденциальной информации (получения лицензии на это) описаны ниже.

Условия

Главной сложностью в получении лицензии являются условия предоставления. Перечень довольно широк, а при отсутствии любого пункта соискатель лишается права на выдачу разрешения. При этом условия для разных видов деятельности отличаются, хотя есть общий перечень.

Необходимо соблюсти такие условия:

Иметь не менее 2 сотрудников, имеющих соответствующее образование или прошедших курсы переподготовки
Обладать помещением в собственности или на правах аренды с обязательным техническим соответствием заявленному виду деятельности
Сформировать материально-техническую базу из контрольно-измерительного, испытательного и другого необходимого вида оборудования в зависимости от вида деятельности
Подтвердить наличие необходимого программного обеспечения, находящееся в собственности или на других законных основаниях
Наличие специализированной системы контроля в соответствии в выбранным видом деятельности и конкретным её подпунктом
Обладать на законных основаниях технической документацией, методическими разработками, а также другими бумажными и цифровыми данными, необходимыми для ведения деятельности.

Также для некоторых видов деятельности может потребоваться определенные средства по обработки информации, аттестованные по технике безопасности.

Еще одним требованием, касающимся всех видов деятельности, кроме производства и разработки СЗКИ, является наличие на посту руководителя, имеющего высшее образовании по специальности «Информационная безопасность» или же прошедшего курс переподготовки, превышающий 500 аудиторных часов.

Необходимые документы

Вместе с заявленным условиями необходимо предоставить такой пакет документов:

Трудовые договоры, сертификаты и дипломы сотрудников
Заявление и подтверждающие документы об оплате госпошлины
Документы, подтверждающие законное наличие систем контроля
Правоустанавливающие документы на помещение и программное обеспечение
Данные о наличии технической и другой необходимой для работы документации
Документы, подтверждающие наличие требуемой материально-технической базы
Аттестаты соответствия средств обработки информации и/или защищаемых помещений.

Все данные предоставляется вместе с учредительными документами соискателя. Штучное количество бумажных бланков сильно отличается в зависимости от выбранного вида деятельности, наличия нескольких помещений, программ и технической документации. Именно поэтому при сборе пакета документов необходимо уточнять наличие новых нормативно-правовых актов, касающихся лицензирования деятельности по защите информации.

Этапы лицензирование деятельности по организации защиты информации описаны ниже.

Этапы

Процедура предоставления лицензии занимает большое количество времени. Законодательно сроки выдачи данного документа ограниченны 45 сутками. Одним из важных шагов является предварительный этап получения разрешения, от качества его выполнения зависит сама возможность предоставления права на деятельность по защите информации.

Подготовительные этапы лицензирования:

Изучение нормативно-правовой базы
Выявление соответствия заявленным условиям
Сбор пакета документов и составление заявления
Повторный анализ условий и предоставляемых документов.

При правильно проведенном подготовительном периоде лицензирования вероятность получения лицензии очень высока. Часто поводом для отказа являются именно ошибки в представленных документах или несоответствии необходимым условиям.

После предварительного этапа необходимо подать документы в нужных лицензирующий орган, выбранных в зависимости от вида деятельности (ФСБ или ФСТЭК). Следующим пунктом будет изучение документов экспертной комиссией. При их соответствии организуется проверка технических возможностей и условий для ведения деятельности. Заключительным этапов является выдача официального бланка лицензии.

Полезная информация

Особое внимание стоит уделить тому, что все действующие лицензиаты подвергаются плановым проверкам сотрудниками ФСБ. Более того, для этого вида деятельности характерны спонтанные проверки без предупреждения. Они проводятся на законном основании для достижения максимального качества предоставляемых услуг по сохранению информации.
По этой причине срок действия лицензии определен минимумом в 5 лет, а процедура продления разрешения упрощена. Необходимо произвести переоформление документа, подтверждающее разрешение. По заявлению лицензиата ему выдается новый бланк с продленным сроком действия. Это возможно только при отсутствии грубых нарушений - при их наличии лицензия отзывается.

Получение разрешения на ведение деятельности по защите информации само по себе не особо трудное. Значительно сложнее собрать необходимый пакет документов и правильно соблюсти все требуемые условия. При соискательстве лицензии наиболее важно обратить внимание на подготовительный этап и при его качественном выполнении получить разрешение не составит труда.

Еще больше полезной информации о защите информации и лицензировании такой деятельности содержится в этом видео:

Техническая защита конфиденциальной информации - актуальная проблема в сегодняшних реалиях. Любая организация так или иначе собирает информацию, которую не хотела бы или просто не имеет права разглашать. Утечка таких данных может иметь самые серьезные последствия.

Государство контролирует эту важную область, а главным регулирующим органом является Федеральная служба по техническому и экспортному контролю (ФСТЭК).

Компании, которые занимаются или планируют заниматься деятельностью по защите конфиденциальной информации, должны получать лицензию ФСТЭК (Федеральный закон № 99 «О лицензировании отдельных видов деятельности», Постановление правительства от 21.11.2011 г. № 957 «Об организации лицензирования отдельных видов деятельности»). Также существует лицензия ФСБ, которая необходимо компаниям, имеющим дело с государственной тайной.

Виды лицензий ФСТЭК

Если брать в расчет только деятельность, находящуюся под юрисдикцией ФСТЭК, то существует два основных вида лицензий:

Первая: Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации (ТЗКИ) . Такая лицензия необходима компаниям, работающим непосредственно с информацией. Они используют уже готовое программное обеспечение, занимаются его установкой, тестируют технику, коммуникации и специальные помещения для хранения информации и так далее. Подробный список работ, которые требуют получения лицензии на ТЗКИ, будет приведен ниже.

Вторая: Лицензия ФСТЭК на деятельность по разработке и производству средств защиты конфиденциальной информации (СЗКИ) . Организации, получающие эту лицензию, сами разрабатывают и производят средства защиты информации. Сюда включается специальное программное обеспечение и техника, предназначенная для обработки, хранения и передачи защищенной информации, а также контроля защищенности. На все ПО и технические средства, которые производятся и используются для этих целей, выдаются сертификаты ФСТЭК. Через определенные промежутки времени средства защиты проходят повторную аттестацию.

Что подразумевается под конфиденциальной информацией?

Четкого определения этого понятия в законодательстве нет: это может быть как коммерческая тайна, так и персональные данные или любая другая информация ограниченного пользования.

Существует также понятие «оператор персональных данных». Это любая организация или физическое лицо, организующее и (или) осуществляющее обработку персональных данных. По закону (ФЗ № 152 «О персональных данных») оператор ПДн обязан обеспечить их неприкосновенность, то есть провести мероприятия по технической защите информации, которые подлежат лицензированию.

На практике это не всегда означает, что ему нужно получать лицензию ФСТЭК. Оператор может привлечь для этой цели стороннюю организацию с лицензией либо назначить в своем составе структурное подразделение или должностное лицо, которое будет заниматься вопросом ТЗКИ. В таком случае это подразделение или должностное лицо также обязано иметь лицензию ФСТЭК на ТЗКИ.

Лицензия ФСТЭК на ТЗКИ. Для каких работ нужна?

Каким организациям нужно оформлять лицензию ФСТЭК на ТЗКИ? Для того чтобы это определить, необходимо сопоставить работы или услуги, которые планирует оказывать эта организация, тем, что представлены в постановлении правительства. К таким работам относятся:

контроль защищенности конфиденциальной информации от утечки по техническим каналам в:
средствах и системах информатизации;
технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается;
помещениях со средствами (системами), подлежащими защите;
помещениях, предназначенных для ведения конфиденциальных переговоров (защищаемых помещениях);
контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации);
аттестационные испытания и аттестация на соответствие требованиям по защите информации:

защищаемых помещений;
проектирование в защищенном исполнении:
средств и систем информатизации;
помещений со средствами (системами) информатизации, подлежащими защите;
защищаемых помещений;
установка, монтаж, испытания, ремонт средств защиты информации

Получение лицензии ФСТЭК России на техническую защиту информации

ФСТЭК России рекомендует получать лицензию на техническую защиту информации своими силами, чтобы избежать неоправданных расходов и необоснованных гарантий. Как выглядит эта процедура? Чтобы получить лицензию на защиту информации, нужно выполнить два условия:

Собрать все необходимые документы . Перечень документов довольно внушительный и находится на сайте ФСТЭК России fstec.ru . Кроме того, надо заполнить заявление и оплатить госпошлину в размере 7500 рублей. После того как документы предоставлены, в течение пяти рабочих дней производится проверка полноты сведений. Затем проводится проверка, которая выявляет, соответствует ли соискатель требованиям для предоставления лицензии.

Соответствовать требованиям . Перечень требований также находится на официальном сайте ФСТЭК России. Конечно, об этом нужно позаботиться заранее перед тем как подавать документы.

Требования для получения Лицензии ФСТЭК

Если коротко изложить эти требования, то они сводятся к следующему:

Квалифицированные сотрудники. В штате должны быть работники с высшим образованием в профильной области либо прошедшие специальную переподготовку.
Специальные помещения для осуществления деятельности. Помещения должны соответствовать нормам и принадлежать соискателю на законном основании.
Сертифицированное оборудование.
Автоматизированные системы для обработки информации с сертификатами.
Легальное программное обеспечение.
Наличие нормативно-правовых актов и методических документов в соответствии с перечнем ФСТЭК.

После того как все требования выполнены, а документы в порядке, выдается лицензия. Срок действия лицензии на ТЗКИ не ограничен, но периодически ФСТЭК будет проводить плановые проверки. Поэтому компании нужно постоянно следить за тем, чтобы все требования ФСТЭК выполнялись.