Контроль защиты информации

Содержание

Об утверждении положения о системе технической защиты, от 25 ноября 2016 года №51

Контроль защиты информации

Во исполнение Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»

ПРИКАЗЫВАЮ:

1. Утвердить положение о системе технической защиты информации в Государственном комитете охраны объектов культурного наследия Челябинской области (прилагается).

2. Контроль исполнения приказа возложить на заместителя председателя Государственного комитета — начальника отдела контрольно-надзорной деятельности Бердова С.В.

ПредседательГосударственного комитетаохраны объектовкультурного наследияЧелябинской области

А.А.БАЛАНДИН

Положение о системе технической защиты информации в государственном комитете охраны объектов культурного наследия челябинской области

УтвержденоприказомпредседателяГосударственного комитетаохраны объектовкультурного наследияЧелябинской области

от 25 ноября 2016 года N 51

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1.

Настоящее Положение является документом, обязательным для исполнения в Государственном комитете охраны объектов культурного наследия Челябинской области (далее — Государственный комитет) при проведении работ по технической защите информации (не криптографическими методами), содержащей сведения, отнесенные к государственной тайне или конфиденциальной информации, от ее утечки по техническим каналам, несанкционированного доступа к информации, специальных воздействий на информацию.

Положение определяет структуру системы технической защиты информации в Государственном комитете, ее задачи, функции и финансирование мероприятий по технической защите информации.

1.2. В настоящем Положении применяются следующие основные термины, регламентированные Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 29.07.2004 N 98-ФЗ «О коммерческой тайне», ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»:

Информация: сведения (сообщения, данные) независимо от формы их представления.

Защита информации: деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Техническая защита информации (ТЗИ): защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации (иностранными) разведками и другими заинтересованными субъектами.

Защита информации от непреднамеренного воздействия: защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от несанкционированного доступа (ЗИ от НСД): защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Объект защиты информации: Информация, или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

Защищаемая информация: информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Защищаемая информационная система: информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.

Угроза (безопасности информации): совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Несанкционированное воздействие на информацию: воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Техника защиты информации: средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

Средство защиты информации: техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

Эффективность защиты информации: степень соответствия результатов защиты информации цели защиты информации.

Источник: http://docs.cntd.ru/document/450239190

Защита информации

Контроль защиты информации

АО «ЦентрИнформ» специализируется на ком­плексных решениях по обеспечению информаци­онной безопасности объектов органов государ­ственной власти и коммерческих организаций. Нашими специалистами накоплен ценный практический опыт в области предоставления услуг по защите информации: от постановки задачи до внедрения решения.

Среди наших заказчиков: ФНС России, НПО «Аврора», ОАО «Мегафон», ОАО «Северо-Западный Телеком».

Защита персональных данных

Cогласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» все юридиче­ские и физические лица, использующие в своей деятельности персональные данные, должны осуще­ствить мероприятия по их защите.

Предприятие предлагаетполный комплекс услуг по защите персональных данных и типовые проекты по защите ИСПДн дляавтономного рабочего места иавтономной локальной вычислительной сети.

Комплекс услуг по защите персональных данных включает:

  • определение ситуаций, когда требуется обработка персональных данных,
  • формирование перечня подразделений и сотрудников компании, участвующих в обработке персональных данных в рамках своей служебной деятельности,
  • категорирование персональных данных и прове­дение предварительной классификации информа­ционных систем,
  • планирование и проведение мер по снижению ка­тегорий обрабатываемых персональных данных,
  • формирование актуальной модели угроз для каж­дой информационной системы обработки персо­нальных данных (ИСПДн),
  • подготовка технического задания по созданию требуемой системы защиты персональных дан­ных,
  • взаимодействие с Уполномоченным органом по защи­те прав субъектов персональных данных,
  • взаимодействие с ФСТЭК России по организации системы защиты,
  • разработка требований для конкретной ИСПДн, с учетом присвоенного класса защиты,
  • проектирование и внедрение системы обеспече­ния безопасности информации,
  • разработка документации для системы обеспече­ния безопасности информации,
  • аттестация системы на соответствие требованиям по защите персональных данных,
  • обучение сотрудников по вопросам обработки и защиты персональных данных,
  • услуги сопровождения информационной системы обработки персональных данных.

Утечка информации, содержащей сведения ограни­ченного распространения, может нанести существен­ный ущерб как государственным, так и коммерческим предприятиям и организациям.

С целью обеспечения безопасности информационных ресурсов, составляющих государственную и коммер­ческую тайну, создания системы защиты информации от утечки по техническим каналам и выполнения тре­бований по безопасности информации на объекте, предприятие оказывает следующие услуги:

  • подготовка объектов к аттестационным испыта­ниям; Подготовка объектов информатизации (выделенных помещений и объектов вычислительной техники) к аттестационным испытаниям проводится с целью приведения их в соответствие с требованиями по безопасности информации, регламентированными требованиями действующего законодательства, нормативно – методическими документами ФСТЭК России.При подготовке объектов информатизации к аттестационным испытаниям специалистами АО «ЦентрИнформ» проводятся следующие работы:
    • проведение экспертного обследования объекта информатизации;
    • анализ и оценка соответствия объекта информатизации и имеющейся системы защиты на объекте требованиям по безопасности информации как организационным, так и техническим;
    • выработка предложений (при необходимости) по приведению имеющейся у Заказчика системы защиты информации в соответствие с требованиями действующего законодательства и нормативно-методических документов ФСТЭК России или созданию такой системы;
    • разработке комплекта проектов необходимых организационно-распорядительных документов, регламентирующих вопросы информационной безопасности;
    • консультации персонала заказчика по вопросам обеспечения информационной безопасности.
  • аттестация (аттестационные испытания) объектов информатизации (выделенных помещений и объ­ектов вычислительной техники), проведение еже­годного контроля защищенности информации от утечки по техническим каналам; Аттестация объектов информатизации — это целый комплекс организационно-технических мероприятий, в ходе которых проводится многоплановая проверка объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия требуемому уровню защищенности информации от утечки по техническим каналам. В соответствии с требованиями действующих в РФ нормативных документов, обработка сведений составляющих государственную тайну, разрешается только при наличии на объекте информатизации действующего Аттестата соответствия, который дает право обрабатывать информацию с соответствующим уровнем секретности. Объектами информатизации, подлежащими аттестации по требованиям безопасности информации в соответствии с требованиями действующих в Российской Федерации нормативных документов являются автоматизированные системы, предназначенные для обработки информации, составляющей государственную тайну, служебной информации ограниченного распространения, а также помещения для ведения переговоров по вопросам, содержащим сведения, составляющие государственную тайну или служебную информацию ограниченного распространения. При аттестации объектов информатизации специалисты АО «ЦентрИнформ» выполняют полный комплекс работ, связанный с аттестацией объектов информатизации, включая обследование объектов информатизации, специальные исследования и специальные проверки технических средств, установку и настройку программно-аппаратных средств защиты информации от несанкционированного доступа (СЗИ от НСД), разработку организационно-распорядительных документов на объект информатизации.

    Реализуется комплексный подход в проектировании, создании, защите и аттестации объектов информатизации в интересах государственных органов и коммерческих структур.

    Надёжность решений обеспечивается поставкой на объекты современных средств защиты информации, сертифицированных в системе Сертификации ФСТЭК, осуществлением силами наших сотрудников всех работ, включая монтаж, ввод в эксплуатацию защищённых объектов и сопровождение аттестованных объектов информатизации в течение всего срока эксплуатации.

  • проведение работ по выявлению электронных устройств перехвата информации в технических средствах (специальные проверки) и в помещениях (специальные обследования); Специалисты АО «ЦентрИнформ» выполняют работы по проведению специальных проверок (СП) технических средств и специальных обследований помещений (СО) на всей территории Российской Федерации в интересах органов государственной власти, предприятий, организаций и учреждений различных форм собственности. Специальная проверка — это комплекс инженерно-технических мероприятий, проводимых с использованием контрольно-измерительной аппаратуры, направленных на исключение перехвата технической разведкой информации, содержащей сведения, составляющие государственную тайну или конфиденциальную информацию, с помощью внедренных в защищаемые технические средства и изделия электронных устройств перехвата (негласного получения) информации. Специальное обследование — комплекс технических мероприятий по поиску возможно установленных электронных устройств негласного получения информации в ограждающих конструкциях, предметах интерьера и инженерно-технических коммуникациях защищаемых помещений, а также контролю защищенности помещений от утечки акустической речевой и визуальной информации.

    Проведение СП и СО является сложным организационно-техническим мероприятием, требующим не только применения дорогостоящей поисковой аппаратуры, но и значительного опыта персонала, выполняющего проверку. Наличие современного поискового оборудования и высококвалифицированных специалистов позволяет АО «ЦентрИнформ» оперативно и качественно выполнять работы по проведению СП и СО.

  • проведение специальных исследований; Для предотвращения перехвата сигналов и излучений, возникающих при работе самых различных устройств, таких как: вычислительная техника, копировальная техника, телефонные аппараты и т.д. проводятся специальные исследования (СИ). Сигналы и излучения, о которых идет речь, на профессиональном языке именуются — побочные электромагнитные излучения и наводки (ПЭМИН). Ограждающие конструкции и инженерно-технические коммуникации помещений являются техническими каналами утечки акустической речевой информации, которые необходимо выявить и устранить при проведении объектовых СИ выделенных помещений. Полученная с помощью специальной аппаратуры информация конфиденциального характера, в комплексе с данными других разведывательных мероприятий, может принести ощутимый вред деятельности Вашей организации.

    АО «ЦентрИнформ» имеет лицензии ФСБ и ФСТЭК России и предлагает следующие виды работ в этом направлении:

    Стендовые СИ технических средств (ПЭВМ, оргтехники, активного сетевого оборудования, аппаратуры систем звукоусиления, теленаблюдения, телефонных станций и аппаратов и пр.).

    • Объектовые СИ автономных ПЭВМ, ЛВС, систем звукоусиления и звукосопровождения, телефонных станций, и др.
    • Объектовые СИ выделенных помещений по акустическому и виброакустическому каналам.
    • Контроль эффективности установленных технических средств защиты информации (ТСЗИ).

    Преимущества АО «ЦентрИнформ»:

    1. Наличие собственной альтернативной измерительной площадки для проведения стендовых специальных исследований согласно требованиям ФСТЭК России.
    2. Наличие современной контрольно-измерительной аппаратуры, включая сертифицированные ФСТЭК России автоматизированные комплексы.
    3. Высококвалифицированные специалисты, имеющие профильное образование и большой опыт работы в области защиты информации.
  • установка, монтаж, сервисное обслуживание, ис­пытание средств защиты информации;
  • реализация вычислительной и оргтехники, прошед­шей специальные проверки и специальные иссле­дования.

Разработка политики информационной безопас­ности

Комплексный подход к проблеме обеспечения безо­пасности основан на разработке политики безопас­ности.

Политика безопасности представляет собой набор норм, правил и практических рекомендаций, на которых строится управление, защита и распре­деление информации в автоматизированной системе обработки информации.

Она охватывает все особен­ности процесса обработки информации, определяя поведение системы в различных ситуациях.

Специалисты АО «ЦентрИнформ» готовы разрабо­тать под конкретного заказчика политику безопасно­сти, которая будет носить индивидуальный характер в зависимости от конкретной технологии обработки информации и используемых программных и техниче­ских средств.

Создание системы защиты информации Заказчи­ка: от постановки задачи до внедрения

Опыт взаимодействия с разработчиками сертифициро­ванных средств защиты информации и высокая квалифи­кация наших специалистов позволяют:

  • тщательно проанализировать проблему клиента,
  • учитывая параметры информационной систе­мы и финансовые возможности клиента, выявить возможные пути ее решения, предоставить пол­ную и технически обоснованную информацию о различных вариантах решения,
  • оказать помощь клиенту в выборе оптимального варианта решения,
  • качественно и в срок выполнить все необходи­мые работы, включая поставку, настройку и сдачу в эксплуатацию системы защиты информации,
  • выдать рекомендации по дальнейшей эксплуата­ции средств защиты информации.

Консультационные услуги по лицензированию в области защиты информации

Организации, использующие шифровальные сред­ства в различных системах электронного докумен­тооборота, осуществляют деятельность, подлежащую лицензированию.

АО «ЦентрИнформ» оказывает консультационные услуги по получению лицензий

АО «ЦентрИнформ» оказывает консультационные услуги по получению лицензий на следующие виды дея­тельности:

  • деятельность по техническому обслуживанию шифровальных (криптографических) средств,
  • деятельность по распространению шифровальных (криптографических) средств,
  • предоставление услуг в области шифрования ин­формации.

Специалисты выполняют весь ком­плекс работ, необходимых соискателю для полу­чения лицензий на деятельность в области защиты информации:

  • оказание консультационных услуг Заказчику по вопросам лицензирования,
  • предоставление нормативных и методических ма­териалов, необходимых для осуществления лицен­зируемых видов деятельности,
  • помощь в подготовке заявительных и внутренних регламентирующих документов, утверждаемых Заказчиком, и необходимых ему для выполнения заявленных видов деятельности в области защиты информации,
  • проведение подготовки сотрудников Заказчика, в том числе по работе с сертифицированными средствами криптографической защиты информа­ции, с выдачей соответствующих свидетельств,
  • проведение предварительной экспертизы до­кументов, подаваемых с заявкой на получение лицензии, с выдачей рекомендаций по их дора­ботке к виду, достаточному для регистрации за­явки на лицензирование и рассмотрения заяви­тельных документов.

Если Вы хотите Вы хотите воспользоваться нашими услугами по данному направлению
отправьте запрос через форму ЗАКАЗАТЬ или свяжитесь с нами по тел.: (812) 740-54-05

Источник: https://center-inform.ru/services/privacy_policy/

Техническая защита информации по требованиям ФСТЭК, меры по информационной безопасности ФСТЭК

Контроль защиты информации

ГК «Интегрус» помогает реализовать требования защиты информации ФСТЭК с учетом последних реальных моделей угроз.

Сегодня информация является ценнейшим товаром, а множество массивов данных охраняются на законодательном уровне.

На рынке информационной безопасности представлено большое количество программных и аппаратно-программных средств защиты данных (СЗИ) – отечественного и зарубежного производства.

Вопросы в области технической защиты информации в России регулирует Федеральная служба по техническому и экспортному контролю (ФСТЭК). Служба определяет классы защиты информации, разрабатывает рекомендации и требования по защите данных от несанкционированного доступа, проводит сертификацию средств по обеспечению безопасности сведений в информационных системах.  

Ведется государственный реестр сертифицированных средств защиты информации ФСТЭК России за № РОСС RU.0001.01БИ00.

Также существует добровольная сертификация средств технической защиты информации, например, Certified by AM Test Lab, сертификатами которых отмечены такие продукты как Kaspersky Industrial CyberSecurity for Networks, Solar Dozor UBA, Indeed PAM, DLP-система СёрчИнформ КИБ и многие другие.

Требования ФСТЭК по защите информации

Документация государственного регулирования устанавливает минимальные требования защиты от несанкционированного доступа к данным. Для противодействия киберугрозам ФСТЭК регулярно обновляет базу уязвимостей, вносит новые рекомендации в аттестацию, сертификацию оборудования, программного обеспечения.

Выполнение требований регулятора по технической защите информации обязательно при:

  • оказании услуг информационной безопасности (ТЗКИ, СКЗИ);
  • проведении работ по обеспечению государственной и банковской тайн;
  • выполнении обязанностей оператора персональных данных (ПНд);
  • передаче информации посредством сети Интернет.

Требования ФСТЭК по технической защите информации распространяются на:

  • программное обеспечения и оборудование;
  • внешние носители;
  • средства связи и шифровки/дешифровки данных;
  • операционные системы;
  • прочие технические средства хранения, обработки, передачи сведений;
  • персональные данные;
  • специалистов по обеспечению информационной безопасности.

Так, в состав мер по защите персональных данных согласно требованиям ФСТЭК входят:

  • использование системы идентификации и аутентификации (авторизации) субъектов, имеющих доступ к ПНд, и объектов ПНд;
  • возможность ограничения и управления правами доступа к персональной информации;
  • физическая и программная защита носителей информации;
  • регистрация событий безопасности и ведение их журнала;
  • применение средств антивирусной защиты;
  • регулярный контроль защищенности ПНд;
  • обнаружение и предотвращение вторжений, несанкционированного доступа;
  • обеспечение доступности хранимых сведений, их и информационной системы, базы данных доступности;
  • соблюдение требований по защите среды виртуализации, технических средств, информационной системы (ИС), ее средств, каналов и линий связи и передачи данных.

Также требованиями ФСТЭК России по защите персональных данных предусмотрено наличие возможности управления конфигурацией ИС, своевременного выявления инцидентов, способных привести к сбоям в работе ИС, возникновению угроз безопасности ПНд.

Требования ФСТЭК к специалистам по защите информации включают в себя понимание:

  • основных законодательных и нормативных актов в области информационной безопасности и защиты персональных данных;
  • в области сертификации средств защиты информации;
  • о государственной системе противодействия иностранным техническим разведкам.

К профессиональным знаниям специалистов относится:

  • подготовка в части работы с каналами и линиями связи (предотвращение утечки информации);
  • ориентация в сфере комплексных СЗИ;
  • понимание основ методологии построения СЗИ;
  • умение работать со средствами контроля защищенности баз данных (БД) и т.д.

С полным перечнем требований к профессиональной подготовке специалистов в сфере защиты информации можно ознакомиться здесь.

Требования ФСТЭК по защите конфиденциальной информации направлены на исключение неправомерного доступа, копирования, передачи или распространения сведений. Для обеспечения требований по безопасности конфиденциальной информации проводится оценка возможных уязвимостей ИС для внешних и внутренних нарушителей, возможных средств реализации этих уязвимостей.

Меры по защите информации ФСТЭК

Меры защиты информации в информационных системах согласно требованиям ФСТЭК должны обеспечивать необходимый уровень безопасности при взаимодействии защищаемых ИС с другими ИС, при обработке и хранении информации. При этом предлагаемые на этапе проектирования меры должны быть реализуемы в конкретной ИС.

Методы и средства технической защиты информации подбираются с учетом структуры СЗИ, состава и мест размещения ее элементов. Если защищаемая ИС проектируется в составе центра обработки данных (ЦОД) рекомендуется использовать уже имеющиеся в ЦОД средства, меры защиты данных.

Выстраивание защиты в государственных информационных системах (ГИС) предполагает ряд нюансов:

  1. К работе допускаются только компании, имеющие лицензию на деятельность по технической защите конфиденциальной информации;
  2. Требования по охране данных и информации базируются на ряде ГОСТов.
  3. Структурирование классов защиты информации для государственных учреждений – жесткое (всего три класса из семи возможных, используемых в работе частных операторов персональных данных).
  4. Модели угроз основываются на документах и баз ФСТЭК.

Организационные мероприятия предотвращают неправомерные:

  • доступ, хищение и распространение закрытых данных;
  • уничтожение/изменение целостности данных;
  • препятствие получению информации, нарушающее права пользователей.
  • Важное значение имеет разработка пакета организационных и распорядительных документов для:
  • регламентации процесса безопасности хранения данных;
  • порядка выявления инцидентов безопасности;
  • регламентации управления конфигурированием информационных систем по защите данных;
  • установления методов мониторинга информсистем.

Существует регламентация разработки систем и введения их в эксплуатацию, разграничения уровней доступности, проведения проверок и анализ реакций, ответственных за организацию защиты специалистов. Лишь после проведения совокупности мероприятий информационная система аттестуется, вводясь в эксплуатацию.

Технические меры защиты обязывают госструктуры использовать сертифицированные средства, соответствующие классу защиты с функциями:

  • идентификации, аутентификации;
  • управления доступом к данным с возможностью контроля;
  • ограничений по использованию программ;
  • защиты всех информационных носителей;
  • ведение регистрационного учета инцидентов в сфере безопасности;
  • отслеживания вторжений извне;
  • обеспечения целостности находящейся на хранении и обрабатываемой информации;
  • защиты в облачной среде.

Для частных компаний это допустимо с более урезанным функционалом, используемым при обработке массива персональных данных.

Рекомендации ФСТЭК по защите информации

Методические рекомендации ФСТЭК по защите данных предусматривают использование:

  • межсетевых экранов, фильтрующих информацию по установленным критериям;
  • средств, направленных на обнаружение, нейтрализацию и анализ вторжений;
  • антивирусных программ, выявляющих, блокирующих и нейтрализующих несанкционированные действия;
  • доверенной загрузки;
  • контроля за съемными носителями.

ФСТЭК рекомендует использовать такие методы по защите информации как контроль доступа к носителям данных и ИС (физический, аппаратный, программный и т.д.), шифрование передаваемых сведений.

Методические документы и приказы ФСТЭК по защите информации

Существует огромный перечень подзаконных актов и документов, определяющих порядок организации информационной защиты и позволяющих эффективно применять разработанную систему информационной безопасности.

Так, положения о защите технической информации разрабатываются организациями самостоятельно. Отдельные положения выносятся местными органами власти.

ФСТЭК выпускает приказы, уточняющие требования в сфере защиты информации, например, Приказ ФСТЭК России от 23 марта 2017 г. N 49, от 15 февраля 2017 г. N 27 и т.д.

– полный перечень документов ФСТЭК по технической защите информации можно уточнить здесь. Детальнее:

Техническая защита информации затрагивает вопросы сбора, обработки, передачи, хранения, распространения информации с соответствующим классу защищенности обеспечением ее безопасности на предприятиях. Система документов по технической защите информации строится на основополагающих элементах:

  • федеральное законодательство;
  • распоряжения и указы Президента РФ;
  • постановления правительства РФ;
  • документация ФСБ, ФСТЭК, Роскомнадзора;
  • общероссийские стандарты;
  • документы руководящие, нормативно-методические.

Документы ФСТЭК по технической защите информации ложатся в основу проектирования и исполнения информсистем, защищенных от проникновения на любых уровнях. Вся документация размещается по мере обновления на официальном сайте и является обязательной к исполнению.

В нормативных руководящих документах ФСТЭК по защите информации содержатся принципы разноуровневой защиты по шкале важности сведений, степени конфиденциальности, предписаний по оценке защищенности от несанкционированных действий злоумышленников, регламенты работ для сотрудников сферы защиты данных.

Сертифицированные средства защиты ФСТЭК

Функции ФСТЭК в области сертификации средств защиты информации заключаются в:

  • создании системы сертификации средств защиты информации в соответствии с требованиям по обеспечению информационной безопасности;
  • формировании правил проведения сертификации средств защиты данных;
  • аккредитации органов по сертификации и испытательных лабораторий и разработке правил аккредитации;
  • выборе способов подтверждения соответствия СЗИ требования нормативных документов;
  • выдаче сертификатов и лицензий на использование знаков соответствия;
  • ведении государственного реестра участников сертификации и реестра сертифицированных средств защиты информации;
  • осуществлении государственного надзора над соблюдением участниками правил сертификации, инспекционного контроля – над сертифицированными средствами защиты;
  • рассмотрении апелляций по вопросам сертификации;
  • утверждении нормативных документов с требованиями к средствам и системам защиты информации, методических документов по проведению испытаний.

Также ФСТЭК исполняет функции центрального органа системы сертификации средств защиты информации (либо может делегировать их другой организации по необходимости). ФСТЭК может приостанавливать или отменять действие сертификатов.

Система сертификации средств защиты информации ФСТЭК включает в себя органы по сертификации (работающие с определенными видом продукции), испытательные лаборатории. В структуру системы сертификации ФСТЭК также входят заявители (предприятия, организации, компании) и центральный орган, в роли которой выступает сама ФСТЭК.

Классы средств защиты информации ФСТЭК

Регулятор выделил семь классов защищенности, где первый класс соответствует наивысшей степени защиты, а седьмой (для госструктур – третий) является низшей. Комплекс требований по защите средств вычислительной техники и автоматизированных систем формируют градацию классов.

Сертификаты соответствия ФСТЭК России на средства защиты информации подтверждают, что организация соответствует действующим нормативно-правовым актам РФ и имеет высокий уровень защищенности от кибер-угроз.

Выбор оптимального защитного средства зависит напрямую от класса системы.

В ситуациях значительного превышения стоимости программного обеспечения нужного класса допустимо, согласовав с территориальным органом ФСТЭК, устанавливать иные средства защиты.

Госреестр средств защиты информации ФСТЭК России

Государственный реестр сертифицированных средств защиты информации ФСТЭК постоянно обновляется, находясь в открытом доступе. В нем содержится информация об аккредитациях, сертификатах (в т.ч. двойного назначения), лицензиях, разрешениях. Программы и средства информационной защиты в обязательном порядке проходят обязательную регистрацию, с занесением в реестр и выдачей сертификата.

Лицензирование деятельности по технической защите информации ФСТЭК

Лицензия ФСТЭК на техническую защиту конфиденциальной информации включает средства информационной защиты, их установку и эксплуатацию. Выдача предприятию лицензии для работы с конфиденциальными сведениями и по оказанию телематических услуг означает корректную работу системы безопасности данных на основе рекомендаций, требований, положений и приказов ФСТЭК.

Отказ от получения допуска чреват жесткими проверками с возможной приостановкой работы, отзывом разрешительных документов и административным наказанием.

Виды лицензий, связанных с деятельностью:

  • по предотвращению утечек по различным каналам, бесконтрольного проникновения, видоизменения информации как в системах, так и помещениях, где они размещаются;
  • на услуги мониторинга информбезопасности, аттестации на соответствие требованиям защиты информации, проектирования систем информатизации в защищаемых помещениях, монтажа, отладки, проведению испытаний и ремонтных работ;
  • на разработку и производство средств безопасности;
  • на выстраивание мероприятий по сохранности гостайны.

При оформлении лицензии используются только некриптографические методы.

Срок оформления лицензии составляет 30 дней, хотя зачастую готовое разрешение удается получить только спустя два месяца. Действие лицензии бессрочное.

Источник: https://integrus.ru/blog/it-decisions/zashhita-informatsii-i-informatsionnaya-bezopasnost-fstek.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.