Система сертификации средств защиты информации в Российской Федерации и её применение

  ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«ЛИПЕЦКИЙ ГОСУДАРСТВЕННЫЙ ПЕДАГОГИЧЕСКИЙ УНИВЕРСИТЕТ» 
 

ФАКУЛЬТЕТ ФИЗИКО-МАТЕМАТИЧЕСКИХ И КОМПЬЮТЕРНЫХ НАУК  
 
 
 
 
 

 КУРСОВАЯ  РАБОТА

по дисциплине «Теория информационной безопасности и методология защиты информации»

специальность  «Организация и технология защиты информации»

Тема: Система сертификации средств защиты информации                                в Российской Федерации и её применение.  
 
 
 
 

  

Выполнила:

студентка группы ЗИ-3

очного  отделения

ИВАНОВА Алина Петровна 

преподаватель:

                                                    МАЛЫШ Владимир  Николаевич 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Липецк 2010

Оглавление 

Введение……………………………………………………………………..3

ГЛАВА I. ПРАВОВАЯ СИСТЕМА СЕРТИФИКАЦИИ                                                         ЗАШИТЫ ИНФОРМАЦИИ............................................................................6            

1.1. Законодательство  Российской Федерации об информации,  информационных технологиях и о защите информации……………...8

1.2.Указы правовой  системы сертификации защиты  информации…....... 14                                                                                                                                    

1.3. Постановление РФ правовой системы                                            

сертификации  защиты информации………………………………………..18                                                                                                                                     

1.4.Руководящие документы ФСТЭК России……………………………..21

1.5. Документы  по созданию автоматизированных  систем и                             систем защиты информации…………………………………………….25

ГЛАВА II . ОБЪЕКТ СЕРТИФИКАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ…………….28

2.1. Типовые требования к содержанию и порядку разработки                руководства по защите информации  от технических разведок                                                       и её утечки по техническим каналам.......................................................28                                                                  

2.2. Основное содержание Руководства по защите информации………..29

2.3. Порядок разработки, согласования и утверждения

     руководства по защите информации…………………………………...33

2.4. Государственная система защиты информации………………….......34

2.5. Методы и способы защиты информации                                                              в информационных системах персональных данных…………………35

ГЛАВА III. ПОРЯДОК ПОЛУЧЕНИЯ И ЛИЦЕНЗИИСЕРТИФИКАЦИИ                       ЗАЩИТЫ ИНФОРМАЦИИ…………………………………………………37

3.1. Аттестация  в области защиты информации…………………………..37

3.2. Система аттестации объектов информатизации по

требованиям безопасности информации…………………………………..39

3.3. Подготовки к аттестации из следующего                                               основного перечня работ………………………………………………..40

3.4. Лицензирование в области защиты информации…………………….41

3.5. Условия и порядок получения лицензии ФСТЭК, СКЗИ....................44

3.6. Порядок получения лицензии ФСТЭК на право                                   технической защиты конфиденциальной информации………………..45

3.7. Лицензирование деятельности по разработке и производству                 средств технической защиты информации СКЗИ……………………...46

3.8. Обязанности предприятий, действующих                                                          на основании лицензии ФСТЭК………………………………………....47

3.9. Сертификация в области защиты информации………………………..47

       Заключение………………………………………………………………55

       Библиография……………………………………………………………57 
 
 
 
 

Введение 

   Информационная  безопасность Российской Федерации (РФ) является одной из составляющих национальной безопасности Российской Федерациии оказывает влияние на защищенность национальных интересов РФ в различных сферах жизнедеятельности общества и государства.       В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности РФ.

    К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ. Наиболее важными направлениями этой деятельности. внесение изменений и дополнений в законодательство РФ, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности РФ, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов РФ, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности РФ.

    Законодательное разграничение полномочий в области обеспечения информационной безопасности РФ между федеральными органами государственной власти и органами государственной власти, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;

    разработка  и принятие нормативных правовых актов, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну.                                                                                                     

    Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

    Лицензирование  деятельности в области  защиты информации - важнейшая составляющая государственной системы защиты информации. Конфиденциальные сведения должны обрабатываться при использовании сертифицированных программных средств защиты. Для того чтобы проверить, насколько эффективно защищается конфиденциальная информация, проводится аттестация средств, используемых для ее хранения и обработки.

    Объектом  исследования являются все средства, применяемые для защиты информации, учитываются условия и характер эксплуатации объектов. Аттестация необходима для того, чтобы составить независимое  заключение о достигнутом в организации  уровне защищенности информационных систем. Самым эффективным способам проверки соответствия информационных средств защиты действующим нормативам является привлечение сотрудников, имеющих лицензию Федеральная Служба по Техническому Экспортному Контролю (ФСТЭК) на проведение данной категории работ.

    сертификация  средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

    совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности; 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

ГЛАВА I. ПРАВОВАЯ СИСТЕМА СЕРТИФИКАЦИИ ЗАШИТЫ ИНФОРМАЦИИ              
 
 
 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 
 

1.1. Законодательство  Российской Федерации  об информации,  информационных технологиях  и о защите информации.

    Государственное регулирование отношений в сфере  защиты информации осуществляется путем  установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

    Федеральными  законами могут быть установлены  ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

  Закон о государственной  тайне.

    Порядок сертификации средств защиты информации. Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

    Организация сертификации средств защиты информации возлагается на федеральный орган  исполнительной власти, уполномоченный в области противодействия техническим  разведкам и технической защиты информации, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области обороны, в соответствии с функциями, возложенными на них законодательством Российской Федерации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством РФ.

    Координация работ по организации сертификации средств защиты информации возлагается на межведомственную комиссию по защите государственной тайны.  

                                                                                                                                                                      
 

Закон Защита персональных данных.

    Подготовка  уведомлений уполномоченных органов  об обработке персональных данных. Аттестация информационной системы персональных данных в соответствии  с указанным классом. Защита персональных данных на финальном этапе создания системы представляет собой аттестацию информационной системы по требованиям защиты информации Федеральной службы по техническому и экспортному контролю (ФСТЭК).