Система сертификации средств защиты информации в Российской Федерации и её применение

Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 691 Об утверждении положения о лицензировании внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль

    Утвердает  лицензирование внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль.

    Установливает  лицензии на осуществление внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль, выданные ФСТЭК.  

Постановление Правительства РФ от 29 февраля 2000 г. N 176 "Об утверждении Положения  о государственной аккредитации организаций, создавших внутрифирменные программы экспортного контроля"

    Утвердает государственную аккредитацию организаций, создавших внутрифирменные программы экспортного контроля.

    Проведение  государственной аккредитации организуется Федеральной службой по техническому и экспортному контролю.

    Правила проведения государственной экспертизы внешнеэкономических сделок с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности, в отношении  которых установлен экспортный контроль.

Постановление Правительства РФ от 31 августа 2006 г. N 532 "О  лицензировании деятельности по разработке и (или) производству средств  защиты конфиденциальной информации"

    Утверждает  лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации.      Устанавливает, что лицензии на осуществление деятельности по разработке и (или) производству средств защиты конфиденциальной информации, предоставленные в установленном порядке до принятия настоящего постановления, действительны до окончания указанного в них срока.

Постановлением  Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении  Положени об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

    Утверждает  прилагаемый Порядок проведения классификации информационных систем персональных данных.

    Определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий

и технических  средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

                                                                                                                     1.4.Руководящие документы ФСТЭК России. 

Приказ  ФСТЭК №58 от 5.02.2010г. "Об утверждении Положения  о методах и  способах защиты информации в информационных системах персональных данных" 

    Устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), или лицом, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо).

Приказ  ФСТЭК, ФСБ, Мининформсвязи России от 13.02.2008г. №55/86/20 «Об утверждении  Порядка проведения классификации информационных систем персональных данных»

    Определяет порядок проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

«Концепция  защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (решение  Председателя Гостехкомиссии России                                 от 30 марта 1992г.);

    Документ излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации.

    Концепция предназначена для заказчиков, разработчиков и пользователей СВТ и АС, которые используются для обработки, хранения и передачи требующей защиты информации.

Методика  определения актуальных угроз безопасности персональных данных при их обработке  в информационных системах персональных данных от 16 ноября 2009 г

     Методика предназначена для использования  при проведении работ по обеспечению  безопасности персональных данных  при их обработке в следующих  автоматизированных информационных  системах персональных данных, государственных или муниципальных ИСПДн.

   Документ  предназначен для специалистов по обеспечению  безопасности информации, руководителей  организаций и предприятий, организующих и проводящих работы по обработке  ПДн в ИСПДн.

Приказ  председателя Государственной  технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199

   Устанавливает организационную структуру системы сертификации средств защиты информации по требованиям безопасности информации, функции субъектов сертификации, порядок сертификации, государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации, общие требования к нормативным и методическим документам по сертификации средств защиты информации. Также  приведены перечень средств защиты информации, подлежащих сертификации в системе сертификации, формы заявок на проведение сертификации и продление срока действия сертификата, решения по заявке на проведение сертификации (продлению срока действия сертификата), сертификата и лицензии на применение знака соответствия.

Руководящий документ. Средства вычислительной техники. Межсетевые экраны защита от несанкционированного доступа к информации.

Показатели  защищенности от несанкционированного доступа к информации.

    Устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня  показателей защищенности и совокупности описывающих их требований. Под сетями ЭВМ, распределенными автоматизированными

системами (АС) в данном документе понимаются соединенные каналами связи системы  обработки данных, ориентированные  на конкретного пользователя.

Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты Гостехкомиссия России, 2003 год

    Устанавливает порядок формирования семейств профилей защиты для изделий информационных технологий. Документ предназначен для  использования заказчиками и  разработчиками изделий ИТ при разработке профилей защиты для типовых изделий ИТ в соответствии с Руководящим документом Гостехкомиссии России «Критерии оценки безопасности информационных технологий».  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 

1.5. Документы по созданию  автоматизированных систем и                    систем защиты информации.

ГОСТ  Р 50922-2006. Защита информации. Основные термины  и определения.

    В настоящем стандарте реализованы  нормы Федеральных законов от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне"

    Установленные настоящим стандартом термины расположены  в систематизированном порядке, отражающем систему понятий в  данной области знания.

ГОСТ  Р 51241-98 Средства и  системы контроля и управления доустпом. Классификация. Общие технические требования. Методы испытаний. 

    Настоящий стандарт распространяется на технические  системы и средства контроля и  управления доступом, предназначенные  для контроля и санкционирования доступа людей, транспорта и других объектов в (из) помещения, здания, зоны и территории.

    Устанавливает классификацию, общие технические требования и методы испытаний средств и систем контроля и управления доступом. Распространяется на вновь разрабатываемые и модернизируемые средства и системы контроля и управления доступом.

ГОСТ  Р ИСО 7498-2-99 Государственный  стандарт РФ Информационная технология взаимосвязь  открытых систем базовая  эталонная модель. 

    Определяет базовую эталонную модель взаимосвязи открытых систем (ВОС). Настоящий стандарт устанавливает основы для обеспечения скоординированных разработок действующих и будущих стандартов по ВОС.

    Назначение  ВОС состоит в обеспечении  такой взаимосвязи неоднородных вычислительных систем, которая позволила  бы достичь эффективного обмена данными между прикладными процессами. В различных ситуациях необходимо обеспечение управляющих функций защиты информации, которой обмениваются прикладные процессы.

    Основные  услуги и механизмы защиты и их соответствующее размещение определено для всех уровней базовой эталонной модели.

ГОСТ  Р ИСО/МЭК 17799-2005 Информационная технология.              Практические правила управления информационной безопасностью. 

    Настоящий стандарт устанавливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями. Рекомендации настоящего стандарта следует выбирать и использовать в соответствии с действующим законодательством.

"Общие  критерии" (ГОСТ  Р 15408-2002) 

    Порядок аттестации объектов. Регламентом стандарта предусмотрено, что сначала владелец ИС создает ее профиль защиты или задание по безопасности.

    Выбранные системы должны быть сертифицированы  по ГОСТ 15408 на соответствие разработанным  заданиям по безопасности. В подсистеме защиты информации применяются выбранные средства или СЗИ в той конфигурации, в которой они описаны в задании по безопасности на ИС. И, наконец, подсистема информационной безопасности сертифицируется на соответствие заданию безопасности по ГОСТ 15408.

ГОСТ  Р ИСО/МЭК 9126-93 Информационная технология. Оценка программной продукции. Характеристики качества и руководства  по их применению.

    Действующий настоящий стандарт определяет шесть характеристик, которые с минимальным дублированием описывают качество программного обеспечения. Данные характеристики образуют основу для дальнейшего уточнения и описания качества программного обеспечения. Руководства описывают использование характеристик качества для оценки качества программного обеспечения.

    Стандарт предназначен для характеристик, связанных с приобретением, разработкой, эксплуатацией, поддержкой, сопровождением или проверкой программного обеспечения.

ГОСТ 28806-90 Качество программных  средств. Термины  и определения 

    Настоящий стандарт устанавливает термины  и определения понятий в области качества программных средств. Термины, установленные настоящим стандартом, обязательны для применения во всех видах документации и литературы по вычислительной технике и программным средствам, входящих в сферу работ по стандартизации и использующих результаты этих работ.