инф без. История развития средств и методов защиты информации
 Скачать 1.69 Mb.
|
|
Лицензирование в области защиты информации Согласно ФЗ "О лицензировании отдельных видов деятельности" № 99 от 4.05.2011 г. лицензированию подлежат: разработка, производство, распространение и ТО шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, когда ТО осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), выполнение работ, оказание услуг в области шифрования информации; разработка и производство средств защиты конфиденциальной информации (СЗКИ); деятельность по технической защите конфиденциальной информации. Органами, уполномоченными выдавать вышеуказанные лицензии, являются ФСБ и ФСТЭК России. Лицензирующий орган - ФСТЭК России Лицензионными требованиями, предъявляемыми к соискателю лицензии на осуществление деятельности по разработке и производству СЗКИ (далее - лицензия), являются: наличие в штате у соискателя лицензии не менее двух специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее техническое или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам разработки и (или) производства СЗИ; наличие помещений для осуществления лицензируемого вида деятельности, соответствующих требованиям технической и технологической документации, национальных стандартов и методических документов в ОЗИ и принадлежащих соискателю лицензии на праве собственности или на ином законном основании; наличие на праве собственности или на ином законном основании необходимого для осуществления лицензируемого вида деятельности контрольно-измерительного оборудования (прошедшего в соответствии с законодательством РФ метрологическую поверку (калибровку) и маркирование), производственного и испытательного оборудования; наличие предназначенных для осуществления лицензируемого вида деятельности программ (в том числе программных средств разработки СЗКИ) для электронно-вычислительных машин и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании; наличие принадлежащих соискателю лицензий на праве собственности или на ином законном основании, технической и технологической документации, документации, содержащей национальные стандарты, и методических документов, необходимых для осуществления лицензируемого вида деятельности в соответствии с утверждаемым ФСТЭК России перечнем наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки СЗКИ, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (при выполнении работ, предусмотренных подпунктом "а"); наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства СЗКИ, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции (при выполнении работ, предусмотренных подпунктом "б"). Лицензирующий орган - ФСБ России Лицензионными требованиями, предъявляемыми к соискателю лицензии, являются: наличие в штате у соискателя лицензии на основной работе согласно штатному расписанию следующего квалифицированного персонала: руководитель и (или) лицо, уполномоченное руководить работами по лицензируемому виду деятельности, имеющие высшее профессиональное образование по направлению ИБ в соответствии с "Общероссийским классификатором специальностей" и (или) прошедшие переподготовку по одной из специальностей этого направления (нормативный срок - свыше 500 аудиторных часов), а также имеющие стаж в области проводимых работ по лицензируемому виду деятельности не менее 5 лет; инженерно-технические работники (не менее двух человек), имеющие высшее профессиональное образование по направлению ИБ в соответствии с "Общероссийским классификатором специальностей" и (или) прошедшие переподготовку по этой специальности (нормативный срок - свыше 100 аудиторных часов); наличие помещений для осуществления лицензируемого вида деятельности, соответствующих требованиям технической и технологической документации, национальных стандартов и методических документов в области ЗИ и принадлежащих соискателю лицензий на праве собственности или на ином законном основании; наличие у соискателя лицензии на праве собственности или на ином законном основании, контрольно-измерительного оборудования (прошедшего в соответствии с законодательством РФ метрологическую поверку (калибровку) и маркирование), производственного, испытательного оборудования и иных объектов, необходимых для осуществления лицензируемого вида деятельности; наличие предназначенных для осуществления лицензируемого вида деятельности программ (в том числе программных средств разработки СЗКИ) для электронно-вычислительных машин и баз данных, принадлежащих соискателю лицензии на праве собственности или на ином законном основании; наличие аттестованных по требованиям безопасности информации средств обработки информации, используемых для разработки и производства СЗКИ, в соответствии с требованиями по защите информации; наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки СЗКИ, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию (при выполнении работ, предусмотренных подпунктом "а"); наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства СЗКИ, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции (при выполнении работ, предусмотренных подпунктом "б"). Требования к соискателю лицензии Наличие профессиональной, квалифицированной команды. Наличие помещения. Использованное при разработке ПО должно принадлежать соискателю лицензии или использоваться на законных основаниях. Для получения лицензии необходимо предоставить документы: заявление на предоставление лицензии; копии документов, подтверждающих наличие в штате соискателя лицензии специалистов по защите информации и их квалификацию (приказов о назначении или выписок из трудовых книжек, дипломов, удостоверений, свидетельств); копии правоустанавливающих документов на помещения, предназначенные для осуществления лицензируемого вида деятельности, права на которые не зарегистрированы в Едином государственном реестре прав на недвижимое имущество и сделок с ним (в случае, если такие права зарегистрированы в указанном реестре); копии аттестатов соответствия защищаемых помещений требованиям по безопасности информации и технических паспортов, используемых для осуществления лицензируемого вида деятельности (в случае, если в качестве лицензирующего органа выступает ФСБ России); копии аттестатов соответствия средств обработки информации требованиям по безопасности информации и технических паспортов, используемых для осуществления лицензируемого вида деятельности (в случае, если в качестве лицензирующего органа выступает ФСБ России); копии документов, подтверждающих право соискателя лицензии на программы для электронно-вычислительных машин и базы данных, планируемые к использованию при осуществлении лицензируемого вида деятельности; документы, содержащие сведения о наличии производственного, испытательного и контрольно-измерительного оборудования, СЗИ, средств разработки и производства СЗКИ, необходимых для осуществления лицензируемого вида деятельности, с приложением копий документов о поверке (калибровке) и маркировании контрольно-измерительного оборудования, а также документов, подтверждающих право соискателя лицензии на использование указанных оборудования и средств; документы, содержащие сведения об имеющихся технической документации, национальных стандартах и методических документах; копии документов, подтверждающих наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы разработки СЗКИ, учета изменений, вносимых в проектную и конструкторскую документацию на разрабатываемую продукцию; копии документов, подтверждающих наличие системы производственного контроля, включающей правила и процедуры проверки и оценки системы производства СЗКИ, оценки качества выпускаемой продукции и неизменности установленных параметров, учета изменений, вносимых в техническую и конструкторскую документацию на производимую продукцию, учета готовой продукции. Незаконная деятельность в области защиты информации 1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой. 2. Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, без лицензии - влечет наложение административного штрафа на должностных лиц в размере от четырех тысяч до пяти тысяч рублей; на юридических лиц - от тридцати тысяч до сорока тысяч рублей с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой. Аттестация объектов информатизации Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» - подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации. Объекты информатизации вне зависимости от используемых отечественных или зарубежных технических и программных средств аттестуются на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации. Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с тем уровнем секретности (конфиденциальности) и на тот период времени, которые установлены в «Аттестате соответствия». При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа к информации, обрабатываемой автоматизированными средствами (в том числе от компьютерных вирусов), и от утечки информации по техническим каналам. При необходимости по решению руководителя предприятия (учреждения, фирмы) организациями, имеющими соответствующие лицензии ФСБ России, могут быть проведены специальные проверки на наличие возможно внедренных в выделенные помещения или технические средства специальных электронных устройств перехвата информации («закладных устройств»). Основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроль и надзор за аттестацией и эксплуатацией аттестуемых объектов информатизации устанавливает «Положение по аттестации объектов информации по требованиям безопасности информации» (далее - Положение), утвержденное председателем Гостехкомиссии России 25 ноября 1994 г. Система аттестации объектов информации по требованиям безопасности информации (далее – система аттестации) является составной частью единой обязательной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее - федеральный орган по сертификации и аттестации), которым является Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ) в пределах ее компетенции, определяемой законодательными актами Российской Федерации. Организационную структуру системы аттестации объектов информатизации образуют: федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации; органы по аттестации объектов информатизации по требованиям безопасности информации; испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации; заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации). Федеральный орган по сертификации и аттестацииосуществляет следующие функции: организует обязательную аттестацию объектов информатизации; создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах; устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации; организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации; аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ; осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации; рассматривает апелляции, возникающие в процессе аттестации объектов информатизации и контроля за эксплуатацией аттестованных объектов информатизации; организует периодическую публикацию информации по функционированию системы аттестации объектов по требованиям безопасности информации. Органы по аттестации объектов аккредитуются федеральным органом по сертификации и аттестации и получают от него лицензию на проведение аттестации объектов информатизации. Такими органами могут быть отраслевые и региональные организации, предприятия и организации по защите информации, специальные центры ФСТЭК РФ. Правила аккредитации определяются действующим в системе «Положением об аккредитации испытательных лабораторий и органов по сертификации средств информации по требованиям безопасности информации» для органов по сертификации. Органы по аттестации: аттестуют объекты информатизации и выдают «Аттестаты соответствия»; осуществляют контроль за эксплуатацией аттестованных объектов информатизации и безопасностью информации, циркулирующей на них; отменяют и приостанавливают действие выданных этим органом «Аттестатов соответствия»; формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке; ведут информационную базу аттестованных этим органом объектов информатизации; осуществляют взаимодействие с органом по сертификации и аттестации и ежеквартально информируют его о своей деятельности в области аттестации. Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов. Испытательные центры (лаборатории) сертификации продукции по требованиям безопасности информации в соответствии с заказами заявителей проводят испытания несертифицированной продукции, используемой на объекте информатизации, подлежащем обязательной аттестации, в соответствии с «Положением о сертификации средств защиты информации по требованиям безопасности информации». Заявители: проводят подготовку объекта информатизации к аттестации путем необходимых организационно-технических мероприятий по защите информации; привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации; предоставляют органам по аттестации необходимые документы и условия проведения аттестации; при необходимости привлекают для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры по сертификации; осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»; извещают орган по аттестации, выдавший «Аттестат соответствия», о всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в «Аттестате соответствия»); предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию. Расходы по проведению всех работ и услуг по обязательной и добровольной аттестации объектов информатизации оплачивают заявители. Оплата работ по обязательной аттестации производится в соответствии с договором по утвержденным расценкам в порядке, установленном федеральным органом по сертификации и аттестации в пределах его компетенции, по согласованию с Министерством финансов Российской Федерации, а при их отсутствии - по договорной цене. Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители за счет средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта информатизации. Порядок проведения аттестации объектов информатизации на соответствие требованиям безопасности информации включает следующие действия: подачу заявки на рассмотрение и проведение аттестации; анализ исходных данных по аттестуемому объекту информатизации; проведение предварительного специального обследования аттестуемого объекта информатизации; разработку программы и методики аттестационных испытаний; заключение договоров на аттестацию; испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости); проведение специальных проверок на наличие возможно внедренных электронных устройств перехвата информации; проведение аттестационных испытаний объекта информатизации; оформление, регистрацию и выдачу «Аттестата соответствия»; осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации; рассмотрение апелляций. Рассмотрим порядок проведения аттестации объектов информатизации на соответствие требованиям безопасности информации от утечки по техническим каналам. Заявитель для получения «Аттестата соответствия» заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации, которые включают: перечень подлежащих аттестации объектов информатизации и выделенных помещений с указанием для каждого объекта назначения, категории и местоположения; перечень установленных технических средств обработки информации ограниченного доступа (ТСОИ) с указанием наличия сертификата соответствия (предписания на эксплуатацию), заключением по результатам специальной проверки на наличие возможно внедренных электронных устройств перехвата информации, категорий и мест (помещений) их установки; перечень установленных вспомогательных технических средств и систем (ВТСС) с указанием наличия сертификата соответствия, заключения по результатам специальной проверки на наличие возможно внедренных электронных устройств перехвата информации и мест их установки; перечень установленных технических средств защиты информации с указанием наличия сертификата соответствия и мест их установки. Орган по аттестации в месячный срок рассматривает заявку и на основании исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации. При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному специальному обследованию аттестуемого объекта, проводимые до этапа аттестационных испытаний. При использовании на аттестуемом объекте информатизации несертифицированных средств и систем защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств. По результатам рассмотрения заявки и анализа исходных данных, а также предварительного специального обследования аттестуемого объекта органом по аттестации разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (если не используются типовые методики), определяется состав (количественный и профессиональный) аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров по сертификации средств защиты информации по требованиям безопасности информации. Программа испытаний разрабатывается на основе анализа исходных данных об объекте информатизации и должна включать необходимые виды испытаний, определенные методические рекомендации для соответствующих видов объектов информатизации (выделенные помещения, автоматизированные системы, системы связи и т.д.), а также определять сроки, условия и методики проведения испытаний. Программа аттестационных испытаний согласовывается с заявителем и может уточняться и корректироваться в процессе испытаний по согласованию с заявителем и руководителем аттестационной комиссии. Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных объектов информатизации. Состав нормативной и методической документации для аттестации конкретных объектов информатизации определяется органом по аттестации в зависимости от условий функционирования объектов информатизации на основании анализа исходных данных по аттестуемому объекту. В нормативную и методическую документацию включаются только те показатели, характеристики и требования, которые могут быть объективно проверены. В нормативной и методической документации по методам испытаний должны быть ссылки на условия, содержание и порядок проведения испытаний, используемые при испытаниях контрольную аппаратуру и тестовые средства, сводящие к минимуму погрешности результатов испытаний и позволяющие воспроизвести эти результаты. Тексты нормативных и методических документов, используемых при аттестации объектов информатизации, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование, в них должно содержаться указание о возможности использования документа для аттестации определенных типов объектов информатизации по требованиям безопасности информации или направлениям защиты информации. Этап подготовки завершается заключением договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации. Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации. Аттестационные испытания предусматривают комплексную проверку защищаемого объекта в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты требуемому уровню безопасности информации и проводятся в следующем порядке: анализ и оценка исходных данных и документации по защите информации на объекте информатизации, оценка правильности категорирования выделенных помещений и объектов информатизации; оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации; специальное обследование объекта информатизации; проведение испытаний отдельных средств и систем защиты информации в испытательных центрах по сертификации продукции по требованиям безопасности информации (при необходимости); специальные проверки технических средств на наличие возможно внедренных специальных электронных устройств перехвата информации; специальные проверки помещений на наличие возможно внедренных специальных электронных устройств перехвата информации; проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте с помощью специальной контрольно-измерительной аппаратуры; анализ результатов специального обследования и аттестационных испытаний, разработка рекомендаций по совершенствованию принятых мер по защите информации от утечки по техническим каналам, закрытию выявленных каналов утечки информации; подготовка отчетной документации - протоколов испытаний и заключения по результатам аттестационных испытаний с выводами комиссии о соответствии (или несоответствии) объекта информатизации установленным требованиям, которая представляется в орган по аттестации для принятия решения о выдаче «Аттестата соответствия». |