Система сертификации средств защиты информации в Российской Федерации и её применение

с законодательством РФ метрологическую поверку (калибровку), маркирование и сертификацию) и подготовленных специалистов в области защиты информации (имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации).

Так же необходимым является использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством РФ, использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем.

Для получения лицензии, заявителю необходимо предоставить следующие документы:

— Заявление о предоставлении лицензии с указанием наименования и организационно-правовой формы юридического лица, места его нахождения для юридического лица; фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, — для индивидуального предпринимателя; лицензируемого вида деятельности, который юридическое лицо или индивидуальный предприниматель намерены осуществлять

  • Копии учредительных документов и копия свидетельства о государственной регистрации соискателя.

— Копия документа о государственной регистрации гражданина в качестве индивидуального предпринимателя.

  • Копия свидетельства о постановке соискателя лицензии на учет в налоговом органе.

Документ, подтверждающий уплату государственной пошлины за рассмотрение лицензирующим органом заявления о предоставлении лицензии.

Сведения о квалификации работников соискателя лицензии. Копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств).

Копии документов, подтверждающих право собственности, право хозяйственного ведения или оперативного управления на помещения, предназначенные для осуществления лицензируемой деятельности, либо копии договоров аренды указанных помещений или безвозмездного пользования ими.

66 стр., 32512 слов

Защита информации. Основные методы защиты

... какие действия на самом деле требуются для адекватной защиты вашей информации. Любая компьютерная система защиты информации не является полностью безопасной. С одной стороны, средств ... централизованное регулирование, цензура и другие методы контроля информации. Это открывает практически неограниченные возможности доступа к любой информации, используемой преступниками. Интернет можно рассматривать ...

Копии аттестатов соответствия защищаемых помещений требованиям безопасности информации.

Копии технического паспорта автоматизированной системы с приложениями, акта классификации автоматизированной системы по требованиям безопасности информации, плана размещения основных и вспомогательных технических средств и систем, аттестата.

Соответствия автоматизированной системы требованиям безопасности информации или сертификата соответствия автоматизированной системы требованиям безопасности информации, а также перечень защищаемых в автоматизированных системах ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описание технологического процесса обработки информации в автоматизированной системе.

Копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и базы данных

Сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования

Сведения об имеющихся у соискателя лицензии нормативных правовых актах, нормативно-методических и методических документах по вопросам технической защиты информации

Пояснительная записка (сведения об основном виде (видах) деятельности соискателя лицензии; о том какие мероприятия и (или) услуги по технической защите конфиденциальной информации предполагает осуществлять (осуществляет) соискатель лицензии; перечень КИ, защищаемой (подлежащей защите) в организации; сведения об объектах информатизации, на которых обрабатывается КИ с приложением копий сертификатов (аттестатов по требованиям безопасности информации) на эти объекты; с помощью каких средств осуществляется обработка и защита КИ; какое ПО используется для обработки КИ (с приложением копий договоров пользователей с правообладателем и сертификатов соответствия); в случае оказания услуг – перечень контрольно-измерительной аппаратуры, средств контроля защищенности информации; перечень нормативной и нормативно-методической литературы, необходимой для осуществления заявляемых видов деятельности)

3.5. Условия и порядок получения лицензии ФСТЭК, СКЗИ.

ФСТЭК (Федеральная служба по техническому и экспортному контролю) выдает лицензии организациям, осуществляющим услуги по технической защите информации, а также занимающимся разработкой и распространением программ защиты информации.

Основными и наиболее часто востребованными являются следующие лицензии ФСТЭК:

  • на деятельность по тех. защите конфеденциальной информации;

— на осуществление мероприятий или оказание услуг в области защиты гостайны (в части техзащиты информации);

  • на работы, связанные с созданием СКЗИ;

— на деятельность по разработке или производству СКЗИ.

3 стр., 1293 слов

Защита информации в предпринимательской деятельности

... нарушителю логин и пароль. Как выстраивать систему безопасности В работе по защите информации, формирующейся в ходе предпринимательской деятельности, требуется опираться на три группы средств: ... Если субъект предпринимательской деятельности является оператором персональных данных, ему следует выбирать программные средства защиты информации основе рекомендаций ФСТЭК РФ. Если информация относится к ...

Лицензирование деятельности по технической защите конфиденциальной информации., Лицензирование деятельности в области защиты информации

3.6. Порядок получения лицензии ФСТЭК на право технической защиты конфиденциальной информации.

Получение лицензии ФСТЭК на право осуществлять техническую защиту конфиденциальной информации возможно только после проведения детального обследования объекта. Проводится такое обследование независимой организацией, имеющей лицензию ФСТЭК на выполнение исследовательских работ в области защиты информации. По результатам проверки составляется протокол с заключениями и рекомендациями. Если все нормативные требования выполняются и лицензиат располагает нормативной и методической документацией, технической базой, квалифицированным инженерным персоналом, способным обеспечить защиту информации, организации выдается аттестат соответствия.

После проведения экспертизы подается заявление на получение лицензии на защиту конфиденциальной информации в орган по лицензированию (лицензионный центр ФСТЭК).

Для рассмотрения заявки обязательными документами являются: представление органа государственной власти РФ, материалы проведенной экспертизы, копии правоустанавливающих документов. Организация может получить отказ в выдаче лицензии в том случае, если одно из перечисленных в законе требований не выполняется. Если разрешение на лицензионную деятельность выдано не было, лицензиат может привлечь специалистов ФСТЭК к выполнению услуг по защите СКЗИ, заключив с лицензиатом договор. Лицензия выдается сроком на 3 года.

3.7. Лицензирование деятельности по разработке и производству средств технической защиты информации СКЗИ.

Если одна организация разрабатывает информационную систему защиты персональных данных, а также средства защиты информации по заказу другой организации, отнесенных по классификации к классу К1 и К2, то такой вид деятельности подлежит обязательному лицензированию. В Соответствии с требованиями ФСТЭК, лицензия СЗКИ выдается выпускающим ИСПДн (информационные системы персональных данных) 1 и 2 класса.

К классу 1 (К1) относятся системы, которые должны обеспечивать на высоком уровне безопасность сведений. Нарушение безопасности может привести к особо серьезным негативным последствиям для физического лица или хранителя персональных данных. Класс 2 (К2) — последствия нарушения безопасности хранения информации — серьезные, К3 — последствия незначительные, К4 — без последствий.

Важнейшими системами, обеспечивающими защиту персональных сведений, не содержащих государственную тайну, являются криптографические (шифровальные) средства (СЗКИ — средства защиты конфиденциальной информации), биллинговые и CRM-информационные системы. В настоящее время выпускаются аппаратные, программные и комбинированные средства, служащие для защиты информации при использовании канальной связи, а также средства, обеспечивающие защиту информации от несанкционированного доступа. Лицензия на производство средств шифрования и иных СЗКИ выдается органами ФСТЭК, а лицензия на шифрование, монтаж, обслуживание и уничтожение шифровальных средств выдается ФСБ.

5 стр., 2124 слов

Стандартизация и сертификация лекарственных средств

... регистрацией лекарственных средств, выдачей разрешений на проведение клинических исследований лекарственных средств, разрешений на ввоз (вывоз) биологических материалов, государственной регистрацией предельных отпускных цен на лекарственные средства, ... медицинскому применению и реализации в данной стране. стандартизация сертификация лекарственное средство 2. Реализовываться могут только те ЛС, на ...

3.8. Обязанности предприятий, действующих на основании лицензии ФСТЭК.

Лицензиаты обязаны действовать в соответствии с нормативными документами ФСТЭК по защите информации. Сотрудники организаций должны соблюдать тайну переписки,

телефонных переговоров, документальных сообщений. В государственный орган по лицензированию ежегодно отправляются отчеты о количестве проведенных мероприятий, оказанных услуг по каждому виду лицензионной деятельности.

3.9. Сертификация в области защиты информации.

Понятия сертификации это процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям. Если говорить о сертификации применительно к средствам защиты информации, то это деятельность по подтверждению их соответствия требованиям технических регламентов, национальных стандартов или иных нормативных документов по защите информации.

Вся система сертификации обеспечивает достижение прежде всего национальной безопасности в сфере информатизации. Cодействие формированию рынка защищенных информационных технологий и средств их обеспечения, регулирование и контроль разработки, а также последующего производства средств защиты информации, помощь потребителям в компетентном выборе средств защиты информации, защита потребителя от недобросовестности исполнителя (продовца, изготовителя), подтверждение показателей качества продукции.

Сертификации подлежат технические, программные, программно-аппаратные средства защиты информации, средства в которых реализованы СЗИ и средства контроля эффективности защиты информации.

Срок действия сертификата составляет 3 года срок действия сертификата не может превышать пяти лет. Действие сертификата может быть продлено если не изменилось, например, количество и состав изделий подлежащих сертификации, не изменились требования, предъявляемые к СЗИ при сертификации, не изменились технические условия или конструкция изделий. В противном случае, проводится первичная сертификация (то есть в полном объеме, как и при первой сертификации).

орган по сертификации

оценка соответствия

Последовательность действий, совершаемых должностными лицами таможенных органов при обнаружении признаков, указывающих на то, что заявленные при декларировании товаров сведения, влияющие на применение к товарам запретов и ограничений, установленных в соответствии с законодательством РФ о государственном регулировании внешнеторговой

деятельности, должным образом не подтверждены. (27)

Система сертификации средств защиты информации

Системы сертификации создаются Федеральной службой безопасности Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации

9 стр., 4149 слов

Правовое регулирование социальной защиты инвалидов в Российской Федерации

... что сказывается на качестве социальной помощи Цель исследования: Рассмотреть особенности правового регулирования социальной защиты инвалидов в Российской Федерации. Объект исследования: социальная защита инвалидов в Российской Федерации в гражданском праве. Предмет исследования: проблемы правового регулирования социальной защиты инвалидов в Российской Федерации. Задачи исследования: 1. Рассмотреть ...