Минцифры России
«Сибирский государственный университет телекоммуникаций и
информатики»
(СибГУТИ)
Кафедра БиУТ
10.05.02 Информационная
безопасность телекоммуникационных
систем, специализация Защита
информации в системах связи и
управления
(очная форма обучения)
Административное и техническое регулирование в области ИБ
отчет по практической работе
дисциплины «Организационное и правовое обеспечение информационной безопасности»
Выполнил:
студент ИИВТ,
гр. АБ-85 / П.А. Мушин/
«__»_________ 2021 г. (подпись)
Проверил:
доцент каф. БиУТ / Е.А. Овчинникова/
«__»_________ 2021 г. (подпись)
Новосибирск 2021
Цель работы
Изучение основ правового регулирования общественных отношений в области административного и технического регулирования.
Выполнение работы
Административное регулирование – метод государственного управления, направленный на создание оптимальных, эффективных механизмов реализации общественных отношений.
В качестве инструментов административного регулирования в области защиты информации выступает разрешительная система, лицензирование. Посредством лицензирования устанавливаются требования к ПО, оборудованию, а также к помещениям для того, чтобы обеспечить качество выполнения определенного вида деятельности.
То есть, административное регулирование устанавливает организационно-правовые основы управления определенным видом деятельности.
Техническое регулирование – правовое регулирование отношений в области установления, применения и исполнения обязательных требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, в области установления и применения на добровольной основе требований к продукции, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению или оказанию услуг, а также правовое регулирование отношений в области оценки соответствия (ст. 2 ФЗ №184).
Техническое регулирование устанавливает соответствие продукции и связанным с продукцией процессам требованиям по обеспечению ее надлежащего качества и безопасности.
Административное регулирование устанавливает требования для обеспечения надлежащего качества выполнения деятельности, а техническое регулирование устанавливает соответствие качественных характеристик продукции предусмотренным в этих требованиях. Таким образом, можно сказать, что данные виды регулирования взаимосвязаны.
Таблица 1 – Виды административного и технического регулирования
№
|
Вид регулирования
|
Объект регулирования
|
Форма оценки соответствия
|
|
Административное регулирование
|
1
|
Лицензирование
|
Лицензируемые виды деятельности ФСБ России:
Разработка и (или) производство средств защиты конфиденциальной информации (в пределах компетенции ФСБ);
Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность;
Деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах;
Деятельность по распространению шифровальных (криптографических) средств;
Деятельность по техническому обслуживанию шифровальных (криптографических) средств;
Предоставление услуг в области шифрования информации;
Разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.
Лицензируемые виды деятельности ФСТЭК России:
Деятельность по технической защите конфиденциальной информации.
Разработка и (или) производство средств защиты конфиденциальной информации.
|
Лицензионный контроль, согласно п.1 ст. 3 ФЗ от 04 мая 2011 года № 99-ФЗ "О лицензировании отдельных видов деятельности", является неотъемлемой частью лицензирования.
Лицензионный контроль осуществляется в двух случаях: непосредственно при прохождении процедуры лицензирования образовательной деятельности и при контроле за соблюдением лицензиатом лицензионных требований и условий при осуществлении образовательной деятельности.
Согласно п. 6 ст.19 ФЗ №99 лицензионный контроль осуществляется в форме документальной проверки, плановой и внеплановой проверки.
В ходе документарной проверки производится проверка на соответствие заявлений и пакета документов на получение лицензии, требованиям, представленным в федеральных информационных ресурсах.
В ходе плановой проверки, производится проверка наличия
Соответствующих документов, соответствия оборудования,
Квалификации сотрудников, помещений, наличие и соответствие необходимого по установленным требованиям.
Неплановая проверка отличается тем, что лицензиат не информируется заранее о предстоящей проверке, но для проведения такой проверки требуется законное основание (обращение физических или юридических лиц, СМИ о фактах грубых нарушений лицензионных требований).
|
|
Техническое регулирование
|
1
|
Сертификация
|
средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну;
средства защиты информации от перехвата оптических сигналов (изображений) в видимом, инфракрасном и ультрафиолетовом диапазонах волн;
средства защиты информации от перехвата акустических сигналов, распространяющихся в воздушной, водной, твердой средах;
средства защиты информации от перехвата электромагнитных сигналов, в том числе от перехвата побочных электромагнитных излучений и наводок, возникающих при работе технических средств регистрации, хранения, обработки и документирования информации;
средства защиты информации от перехвата электрических сигналов, возникающих в токопроводящих коммуникациях;
|
Оценка соответствия представляет собой прямое или косвенное определение соблюдения требований, предъявляемых к объекту, и осуществляется посредством сертификации и аккредитации.
Форма подтверждения соответствия представляет собой определенный порядок документального удостоверения соответствия продукции требованиям технических регламентов, положениям документов по стандартизации или условиям договоров.
Существует три формы оценки соответствия:
‒ добровольная сертификация;
‒ декларирование соответствия;
‒ обязательная сертификация (ст. 20 ФЗ №184) «О техническом регулировании» от 27.12.2002г
|
2
|
Стандартизация
|
продукции, используемые в целях защиты сведений, составляющих государственную тайну или относимые к охраняемым в соответствии с законодательством Российской Федерации иной информации ограниченного доступа;
продукции, сведения о которой составляют государственную тайну
процессы и иные объекты стандартизации, связанных с такой продукцией
|
Установление соответствия продукции требованиям стандартов является добровольным.
Если установление соответствия является обязательным (в соответствии с Законом), соответствующие процедуры осуществляются на основании технических регламентов.
В РФ действует система международных и национальных стандартов информационной безопасности.
Международная система стандартизации действует на основании международных стандартов качества продукции.
«Одним из наиболее развитых и широко используемых во всех странах мира стал международный стандарт ISO 17799.
Система сертификации ГОСТ Р – это единственная в России государственная система сертификации для обязательной оценки соответствия. ГОСТ Р ИСО 27001 – основной стандарт, содержащий в себе исчерпывающий перечень признаков, которыми должен обладать любой метод обеспечения защищенности каждой отдельно взятой информационной технологии.
|
3
|
Аттестация объектов информатизации
|
Объектом информатизации является совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров (статья 3.1 ГОСТ Р 51275-2006).
|
Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации.
Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности.
К проверяемым требованиям относится:
- защита от НСД, в том числе компьютерных вирусов;
- защита от утечки через ПЭМИН;
-защита от утечки или воздействия на информацию за счет специальных устройств, встроенных в объект информатизации.
|
4
|
Аккредитация
|
Предприятия, предоставляющие услуги.
|
Оценка соответствия заявителя критериям аккредитации проводится на основе законности, беспристрастности, компетентности и всесторонности в двух формах:
|
ДЕКЛАРИРОВАНИЕ СООТВЕТСТВИЯ
Декларация о соответствии — документ, в котором производитель удостоверяет, что поставляемая им продукция соответствует требованиям нормативных документов.
Декларирование соответствия – форма подтверждения соответствия продукции требованиям технических регламентов.
Подтверждение соответствия осуществляется на основе принципов:
доступности информации о порядке осуществления подтверждения соответствия заинтересованным лицам;
недопустимости применения обязательного подтверждения соответствия к объектам, в отношении которых не установлены требования технических регламентов;
установления перечня форм и схем обязательного подтверждения соответствия в отношении определенных видов продукции в соответствующем техническом регламенте;
уменьшения сроков осуществления обязательного подтверждения соответствия и затрат заявителя;
недопустимости принуждения к осуществлению добровольного подтверждения соответствия, в том числе в определенной системе добровольной сертификации;
защиты имущественных интересов заявителей, соблюдения коммерческой тайны в отношении сведений, полученных при осуществлении подтверждения соответствия;
недопустимости подмены обязательного подтверждения соответствия добровольной сертификацией.
Подтверждение соответствия осуществляется в целях:
удостоверения соответствия продукции, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, работ, услуг или иных объектов техническим регламентам, документам по стандартизации, условиям договоров;
содействия приобретателям, в том числе потребителям, в компетентном выборе продукции, работ, услуг;
повышения конкурентоспособности продукции, работ, услуг на российском и международном рынках;
создания условий для обеспечения свободного перемещения товаров по территории Российской Федерации, а также для осуществления международного экономического, научно-технического сотрудничества и международной торговли.
Таблица 2 – НПА о декларирования соответствия
НПА
|
Краткое содержание соответствующего положения НПА
|
ГОСТ Р 56532-2015
|
Объекты декларирования; правила декларирования соответствия; этапы декларирования; схемы декларирования; доказательственные материалы; регистрация декларации о соответствии;
|
Федеральный закон от 27.12.2002 №184-ФЗ «О техническом регулировании»
|
Схемы декларирования соответствия; заявитель самостоятельно формирует доказательные материалы; оформляется на русском языке; заявитель обязан представить регистрационный номер декларации о соответствии по требования органа надзора; порядок прекращения действия декларации.
|
Постановление Правительства РФ от 01.12.2009 №982 «Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии»
|
Единый перечень продукции, подлежащей обязательной сертификации
|
Участники правовых отношений:
Заявитель – физическое или юридическое лицо (изготовитель, уполномоченное изготовителем лицо, поставщик, продавец), которое для подтверждения соответствия принимает декларацию о соответствии.
Орган сертификации – это уполномоченная организация, занимающаяся выдачей обязательных и добровольных сертификатов в соответствии с положениями действующего законодательства РФ.
Контрольными (надзорными) органами являются наделенные полномочиями по осуществлению государственного контроля (надзора), муниципального контроля соответственно федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления, а также в случаях, предусмотренных федеральными законами, государственные корпорации, публично-правовые компании.
Таблица 3 – Правосубъектность и правовой статус участников правовых отношений в области ИБ
Управомоченный субъект
|
Правосубъектность
управомоченного лица
|
Права
субъекта
|
Обязанный субъект
|
Заявитель
|
Физическое или Юридическое лицо
|
выбирать форму и схему подтверждения соответствия, предусмотренные для определенных видов продукции соответствующим техническим регламентом;
обращаться для осуществления обязательной сертификации в любой орган по сертификации, область аккредитации которого распространяется на продукцию, которую заявитель намеревается сертифицировать;
обращаться в орган по аккредитации с жалобами на неправомерные действия органов по сертификации и аккредитованных испытательных лабораторий (центров) в соответствии с законодательством Российской Федерации;
использовать техническую документацию для подтверждения соответствия продукции требованиям технических регламентов;
получать в органе по сертификации, выдавшем ему сертификат соответствия, документы и материалы, которые подтверждают результаты сертификации и условия и срок предоставления которых определяются договором о сертификации.
|
изготовитель, уполномоченное изготовителем лицо, поставщик, продавец
|
Орган сертификации
|
Формируются из состава специальных центров Гостехкомисси и России, центров правительствен ной связи ФАПСИ, отраслевых и региональных учреждений, предприятий и организаций по защите информации.
|
Имеют право на выдачу сертификатов, а в частности на приём заявлений, организацию процедуры проверки соответствия всем необходимым требованиям и непосредственно выдачу или отказ в предоставлении сертификата.
|
Сертификационный орган, обладающий личной испытательной лабораторией, называется «сертификационным центром (центр по сертификации)»
|
Контрольные (надзорные) органы
|
федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления
|
требовать от изготовителя (продавца, лица, выполняющего функции иностранного изготовителя) представления информации о регистрационном номере сертификата соответствия или декларации о соответствии, если наличие таких документов предусмотрено соответствующим техническим регламентом;
осуществлять контрольные (надзорные) мероприятия в порядке, установленном законодательством Российской Федерации;
выдавать предписания об устранении нарушений требований технических регламентов в срок, установленный с учетом характера нарушения;
направлять информацию о необходимости приостановления или прекращения действия сертификата соответствия в выдавший его орган по сертификации и национальный орган по аккредитации;
выдавать предписание о приостановлении или прекращении действия сертификата соответствия выдавшему его органу по сертификации, выдавать предписание о приостановлении или прекращении действия декларации о соответствии лицу, принявшему декларацию, и направлять информацию о выдаче предписания о приостановлении или прекращении действия сертификата соответствия, декларации о соответствии в национальный орган по аккредитации;
привлекать изготовителя (исполнителя, продавца, лицо, выполняющее функции иностранного изготовителя) к ответственности, предусмотренной законодательством Российской Федерации;
требовать от изготовителя (лица, выполняющего функции иностранного изготовителя) предоставления доказательственных материалов, использованных при осуществлении обязательного подтверждения соответствия продукции требованиям технического регламента, а также необходимых материалов фотосъемки, аудио- и видеозаписи, материалов из информационных баз, банков данных и иных носителей информации;
принимать решение о приостановлении, прекращении действия сертификата соответствия, декларации о соответствии, признании их недействительными в порядке, установленном Правительством Российской Федерации;
принимать иные меры, предусмотренные законодательством Российской Федерации, в целях недопущения причинения вреда;
принимать решение о запрете или приостановке выпуска в обращение продукции и информировать органы государственного контроля (надзора) в соответствии с их компетенцией о принятом решении о запрете или приостановке выпуска в обращение продукции, не соответствующей требованиям технических регламентов, и (или) о запрете использования (эксплуатации) этой продукции до устранения нарушений в рамках взаимодействия
|
наделенные полномочиями по осуществлению государственного контроля (надзора) органы
|
Порядок реализации регулирования
Декларацию о соответствии принимает заявитель - лицо, выпускающее продукцию на рынок (изготовитель, уполномоченное изготовителем лицо, продавец), зарегистрированное в установленном порядке на территории Российской Федерации.
Декларация о соответствии принимается применительно к продукции одного изготовителя.
В зависимости от функций, выполняемых заявителем, декларация о соответствии принимается:
заявителем-изготовителем (лицом, выполняющим функции изготовителя);
на серийно выпускаемую продукцию или на партию продукции;
заявителем-продавцом - на партию продукции.
При декларировании соответствия заявитель формирует и проверяет Доказательственные материалы, на основе которых принимается декларация о соответствии. Доказательственные материалы хранятся у заявителя в течение срока, определенного действующим законодательством.
Как правило, базовым основанием для принятия декларации о соответствии является протокол (протоколы) приемочных, приемо-сдаточных, контрольных испытаний, проведенных заявителем и (или) сторонними испытательными лабораториями. Отбор образцов для проведения испытаний осуществляется в соответствии с ГОСТ 31814, если иное не установлено национальными техническими регламентами или ТР ТС.
Декларация о соответствии оформляется на листах белой бумаги формата А4 (210х297 мм) на русском языке с использованием электронных печатающих устройств. Оформление декларации о соответствии осуществляется в соответствии с правилами, установленными для продукции, включенной в Единый перечень в соответствии с 5.1.6.5, в Единый перечень продукции, подлежащей оценке (подтверждению) соответствия в рамках Таможенного союза с выдачей единых документов в соответствии с 5.2.5, национальные технические регламенты в соответствии с 6.6, ТР ТС в соответствии с 7.6. Любое исправление текста декларации о соответствии не допускается.
Декларация о соответствии вступает в действие после ее регистрации в установленном порядке.
Оплата работ по регистрации декларации о соответствии органом по сертификации, аккредитованным в установленном порядке, осуществляется на основании договора с заявителем.
Копии зарегистрированной декларации о соответствии при необходимости изготавливаются лицом, принявшим декларацию о соответствии, на белой бумаге формата А4 (210х297 мм), заверяются его подписью и печатью.
Заявитель предпринимает все необходимые меры по поддержанию (обеспечению) соответствия продукции, на которую распространяется действие декларации о соответствии, установленным требованиям.
Для этого заявитель-изготовитель (уполномоченное изготовителем лицо) организует проведение испытаний образцов продукции и (или) проведение производственного контроля.
Этапы декларирования соответствия:
Идентификация продукции.
Определение схемы декларирования.
Формирование доказательственных материалов.
Оформление (принятие) декларации о соответствии.
Регистрация декларации о соответствии.
Маркирование соответствующим знаком.
Поддержание (обеспечение) соответствия.
Таблица 4 – Примеры средств защиты информации
|
Категория средств защиты информации
|
|
ФСБ
|
1
|
Средства защиты информации от утечки по техническим каналам, основные и вспомогательные технические средства и системы в защищенном исполнении
|
|
Программа расчета показателей защищенности конфиденциальной информации объектов вычислительной техники от утечки по техническим каналам «Гроза-К», версия 1.0
|
Система защиты акустической речевой информации от утечки по акустическому и вибрационному каналам
«СТБ-231»
|
2
|
Средства защиты информации (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности
|
|
комплекс системы защиты информации от несанкционированного доступа «Аккорд-1.95 (версия 6.0)»
|
Программно-аппаратный комплекс средств защиты информации от несанкционированного доступа
«Аккорд-АМДЗ»
|
3
|
Средства контроля эффективности принятых мер защиты, применения средств защиты информации (технические, программные, программно-технические)
|
|
Программный комплекс «РСПКонтроль», версия 2.0
|
Система обнаружения компьютерных атак (вторжений) ViPNet IDS 3
|
4
|
Программные средства общего назначения со встроенными средствами защиты
|
|
программно-аппаратный комплекс «Shield Multi Service - FW»
|
Аппаратно-программный модуль доверенной загрузки встроенных средств защиты информации АПМДЗ‑И/М2 исполнение 2
(М-526ИМ2 исполнение 2)
|
5
|
|
Сетевой помехоподавляющий фильтр «ФСП-1Ф10А»
|
Абонентское устройство открытой проводной телефонной связи на базе телефонного аппарата со встроенным устройством защиты «ЗАУ-ТА»
|
6
|
Системы и средства защиты информации, встроенные в средства связи
|
|
Модуль защиты информации, встроенный в устройства сбора и передачи данных «ЭКОМ-3000»
|
Средство криптографической защиты информации «СледопытSSL» (вариант исполнения № 1), встроенное в «Защищенную мобильную операционную систему общего назначения на базе Sailfish Mobile OS RUS» (версия 2.2.1)
|
7
|
Средства и системы информатизации, используемые для обработки секретной информации
|
Программно-аппаратный комплекс защищенного хранения информации «Секрет Особого Назначения» (версия 1.0)
|
Аппарат
телефонный
«МиниКом-ТА-4»
|
8
|
Технические средства и системы, не обрабатывающие непосредственно секретную информацию, но размещенные в помещениях, где обрабатывается секретная информация
|
Программа расчета зон безопасности средств вычислительной техники «Легенда05Рс»
|
Автоматизированное рабочее место для реализации доступа пользователей абонентского пункта к информационным ресурсам сети Интернет «ЗПК – Интернет»
|
Таблица 5 – Лицензиаты ФСТЭК и ФСБ в Новосибирске
№
|
Лицензиаты ФСТЭК
|
Лицензиаты ФСБ
|
1
|
Новосибирский научно-технический центр ФГУП "НПП "Гамма" (Новосибирский научно-технический центр ФГУП "НПП "Гамма")"
|
Сибирский центр лицензирования и сертификации
|
2
|
Закрытое акционерное общество Научно-производственное предприятие "РЕГИОН-РК" (ЗАО НПП "РЕГИОН-РК")"
|
ФГКУ Пограничное управление ФСБ Ро
ссии по Новосибирской области
|
3
|
Открытое акционерное общество "Российские железные дороги" (ОАО "РЖД")"
|
Управление Специальной Связи и Информации Федеральной Службы Охраны России в Сибирском Федеральном Округе
|
4
|
Главный вычислительный центр филиал ОАО "РЖД" (ГВЦ ОАО "РЖД")"
|
|
5
|
Новосибирский филиал ФГУП "Научно-технический центр "Атлас" (Новосибирский ф-л ФГУП "Научно-технический центр "Атлас")"
|
|
6
|
Общество с ограниченной ответственностью "Региональный аттестационный центр" (ООО "РАЦ")"
|
|
7
|
Закрытое акционерное общество "Центр информационной безопасности" (ЗАО "ЦИБ")"
|
|
8
|
Открытое акционерное общество "Салют" (ОАО "Салют")"
|
| |
Скачать 40.56 Kb.
