Главная страница
Навигация по странице:

  • Сертификация средств защиты и аттестование объектов информатизации

    		•

    Основы ИБ. Тема 1-6. Тема 1 Актуальность проблемы обеспечение безопасности информационных технологий


    Скачать 451.42 Kb.
    НазваниеТема 1 Актуальность проблемы обеспечение безопасности информационных технологий
    АнкорОсновы ИБ
    Дата10.06.2022
    Размер451.42 Kb.
    Формат файлаdocx
    Имя файлаТема 1-6.docx
    ТипДокументы
    #582713
    страница4 из 6
    1   2   3   4   5   6

    Лицензирование


    Законодательство Российской Федерации предусматривает установление Правительством РФ порядка ведения лицензионной деятельности, перечня видов деятельности, на осуществление которых требуется лицензия, и органов, уполномоченных на ведение лицензионной деятельности.

    Деятельность в области защиты информации регулируются совместным решением Гостехкомиссии России и ФАПСИ от 27 апреля 1994 № 10, которым утверждено и введено в действие с 1 июня 1994 г. "Положение о государственном лицензировании деятельности в области защиты информации", а также закреплены за ними конкретные виды деятельности и области защиты информации (Приложение 1 к данному Положению).

    В соответствии с «Перечнем видов деятельности предприятий в области защиты информации, подлежащих лицензированию ФАПСИ» лицензированию подлежит «Эксплуатация негосударственными предприятиями шифровальных средств, предназначенных для криптографической защиты информации, не содержаний сведений, составляющих государственную тайну».

    В новом Федеральном законе от 8.08.2001 года№ 128-ФЗ «О лицензировании отдельных видов деятельности», который вступает в силу с февраля 2002 года и приходит на смену одноименному Федеральному закону от 25.09.1998 года № 158-ФЗ, в Перечне видов деятельности, на осуществление которых требуется лицензия, этого вида деятельности (эксплуатация СКЗИ) уже нет.

    В новом законе в Перечень видов деятельности, на осуществление которых требуется лицензия, включено:

    • деятельность по распространению шифровальных (криптографических) средств;

    • деятельность по техническому обслуживанию шифровальных (криптографических) средств;

    • предоставление услуг в области шифрования информации;

    • разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

    • деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;

    • деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

    • деятельность по технической защите конфиденциальной информации;

    • деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

    В настоящее время продолжается разработка подзаконных актов (положений, перечней), регулирующих порядок лицензирования данных видов деятельности.

    Сертификация средств защиты и аттестование объектов информатизации


    Конкретные средства и меры защиты информации должны разрабатываться и применяться в зависимости от уровня конфиденциальности и ценности информации, а также от уровня возможного ущерба в случае ее утечки, уничтожения, модификации или блокирования.

    В настоящее время в Госстандарте России зарегистрированы три системы сертификации средств защиты:

    • (Гостехкомиссия России) система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU . OOO 1. O 1БИ OO ;

    • (ФАПСИ) система сертификации средств криптографической защиты информации (система сертификации СКЗИ) №РОСС RU .0001.030001;

    • (ФСБ) система обязательной сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ - ГТ) №РОСС RU .0001.

    Кроме того, системы сертификации средств защиты разрабатываются (имеются) в Министерстве Обороны РФ и Службе внешней разведки РФ.

    Необходимой составляющей государственной системы обеспечения информационной безопасности являются Государственные стандарты и другие нормативно-технические и методические документы по безопасности информации, утвержденные федеральными органами государственного управления в соответствии с их компетенцией, и определяющие нормы защищенности информации и требования в различных . направлениях защиты информации.

    К основным стандартам и нормативно-техническим документам по вопросам обеспечения безопасности информации, в соответствии с требованиями которых осуществляется сертификация продукции и аттестация объектов информатизации по требованиям безопасности информации, сертификация средств криптографической защиты информации, относятся:

    • в области защиты информации от несанкционированного доступа:

    комплект руководящих документов Гостехкомиссии России (утвержденных решением Председателя Гостехкомиссии России от 25 июля 1997 г.), которые в соответствии с Законом "О стандартизации" можно отнести к отраслевым стандартам, в том числе:

    - "Защита от несанкционированного доступа к информации. Термины и определения"

    - "Концепция защиты СВТ и АС от НСД к информации"

    - "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации"

    - "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ"

    - "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации"

    - "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ"

    - "Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов"

    - "Защита от НСД к информации. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей"

    • ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от НСД к информации. Общие технические требования"

    • ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» и другие;

    • в области защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН):

    • "Нормы эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН" (Решение Председателя Гостехкомиссии СССР, 1977г.)

    • "Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам" (решение Гостехкомиссии России от 23.05.97 г. № 55)

    • ГОСТ 29339-92 "Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Общие технические требования"

    • ГОСТ Р 50752-95 "Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний"

    • методики контроля защищенности объектов ЭВТ и другие;

    • в области криптографического преобразования информации при ее хранении и передаче по каналам связи:

    • ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования"

    • ГОСТ Р 34.10-94 «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»

    • ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»

    • ГОСТ Р 34.11 -94 «Функция хеширования»

    • "Положение о разработке, изготовлении и обеспечении эксплуатации

    шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику" (ПШ-93)

    • Положение «О порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (ПКЗ-99) и другие

    • «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (Введена приказом ФАПСИ от 13 июня 2001 года N 152 ).

    За последние годы достигнут существенный прогресс в развитии методов решения задачи дискретного логарифмирования, что послужило причиной разработки в 2000 - 2001 годах нового государственного стандарта ЭЦП. Новый стандарт основан на математическом аппарате эллиптических кривых. Внедрение схемы ЭЦП на базе данного стандарта повышает, по сравнению с действующей схемой, уровень защищенности передаваемых сообщений от подделок и искажений.

    Стандарт ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» утвержден приказом Госстандарта от 12.09.01 № 380. Вводится в действие с 01.07.02 г.

    Старый стандарт ЭЦП не отменяется. Он будет действовать еще несколько лет, но согласно письма ФАПСИ лицензиатам - разработчикам СКЗИ использование открытого ключа ЭЦП длиной 512 бит допускается только до 31 декабря 2001 года. С 1 января 2002 года длина открытого ключа ЭЦП должна быть 1024 бита.
    1   2   3   4   5   6

    написать администратору сайта