Система сертификации средств защиты информации в Российской Федерации и её применение

    2.4. Государственная система защиты информации.

    Организацию деятельности государственной системы  технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной Государственной системой осуществляет ФСТЭК России.

    Государственная система защиты информации как система  более сложная, включает в себя подсистемы лицензирования деятельности предприятий в области защиты информации, сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.

    Подсистемы представляют в совокупности деятельность следующих органов:

    Федеральная служба технического и экспортного контроля (ФСТЭК России) и ее территориальные органы (региональные управления в субъектах Российской Федерации)

    Федеральные органы исполнительной власти, другие органы и организации Российской Федерации, руководящие работники  которых входят в состав коллегии ФСТЭК России по должности (Минюст, Минобороны, МЧС, МВД, МИД, Минпромэнерго, Минэкономразвития, Минприроды, ФСО, ФСБ, СВР, ГУСП, РАН, ЦБР)

    Предприятия, проводящие работы с использованием сведений, отнесенных к информации ограниченного доступа, и их подразделения по защите информации

    Научно-исследовательские  организации по проблемам защиты информации

    Организации-разработчики средств защиты информации, защищенных технических средств и средств  контроля эффективности защиты информации. 

    Предприятия, оказывающие услуги в области защиты информации. Организации Федерального агентства по техническому регулированию и метрологии выполняющие работы по стандартизации в области защиты информации.

    Органы  системы лицензирования деятельности в области защиты информации

    Органы  системы сертификации средств защиты информации

    Органы  системы аттестации объектов защиты по требованиям безопасности информации.

    2.5. Методы и способы защиты информации в информационных системах персональных данных.

    ФСТЭК устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), или лицом, которому на основании договора оператор поручает обработку персональных данных.

    Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

    Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.

      Выбранные и реализованные методы  и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой оператором (уполномоченным лицом) системы защиты персональных данных.  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

ГЛАВА III . ПОРЯДОК ПОЛУЧЕНИЯ И ЛИЦЕНЗИИ СЕРТИФИКАЦИИ                                  ЗАЩИТЫ ИНФОРМАЦИИ.

     3.1. Аттестация в  области защиты  информации.

    Аттестация  объекта – официальное подтверждение наличия на объекте защиты необходимых и достаточных условий, обеспечивающих выполнение установленных требований руководящих документов по защите информации.

    Под аттестацией объекта информатизации понимается комплекс организационно-технических  мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК (Гостехкомиссией) России.

    Аттестация  объектов информатизации носит обязательный характер в случае, если объект информатизации предназначен для обработки информации, отнесённой к служебной тайне или персональным данным, в остальных случаях – рекомендательный характер. Аттестация объектов проводится на соответствие требованиям СТР-К и РД ФСТЭК России. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки конфиденциальной информации на период времени, установленный в этом «Аттестате соответствия».

    Объектами аттестации являются защищаемые помещения и объекты информатизации в состав которых входят средства и системы непосредственно обрабатывающие защищаемую информацию. В целом, объект аттестации представляет собой совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

    Аттестацию  объектов информатизации могут проводить  организации имеющие лицензию на право оказания услуг по технической  защите конфиденциальной информации, органы по аттестации объектов информатизации, аккредитованные ФСТЭК России.

    Порядок проведения аттестации объектов информатизации:

    Подача  и рассмотрение заявки на аттестацию

    Предварительное ознакомление с аттестуемым объектом (при необходимости)

    Разработка  программы и методики аттестационных испытаний.

    Заключение  договора на проведение аттестации.

    Анализ  организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и её соответствия требованиям нормативной документации по защите информации

    Оценка  правильности классификации АС (при  аттестации автоматизированных систем), выбора и применения сертифицированных  и несертифицированных средств  и систем защиты информации.

    Проверка  уровня подготовки кадров и распределения ответственности персонала за обеспечение выполнения требований по безопасности информации

    Комплексные аттестационные испытания объекта  информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации

    Оформление  протоколов испытаний и заключения по результатам аттестации с конкретными  рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

    Оформление, регистрация и выдача "Аттестата  соответствия"

    При выявлении нарушения правил эксплуатации аттестованных объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации органом, проводящим контроль и надзор, может быть приостановлено или аннулировано действие «Аттестата соответствия», с оформлением этого решения в «Аттестате соответствия». Владелец аттестованного объекта информатизации несёт ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.Система аттестации объектов информатизации по требованиям безопасности.

3.2. Система аттестации объектов информатизации по требованиям безопасности информации. 

    Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации.

    Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия".

    Обязательной  аттестации подлежат объекты информатизации, предназначенные для обработки  информации, составляющей государственную  тайну, управления экологически опасными объектами, ведения секретных переговоров.  

    В остальных случаях аттестация носит  добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца  объекта информатизации.

    3.3. Подготовки к аттестации из следующего основного                   перечня работ.

    -      анализ исходных данных по аттестуемому объекту информатизации;

    - предварительное ознакомление с  аттестуемым объектом информатизации;

    - проведение экспертного обследования  объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;

    - проведение испытаний отдельных  средств и систем защиты информации  на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;

    - проведение испытаний отдельных  средств и систем защиты информации  в испытательных центрах (лабораториях) по сертификации средств защиты  информации по требованиям безопасности информации;

    - проведение комплексных аттестационных  испытаний объекта информатизации  в реальных условиях эксплуатации;

    - анализ результатов экспертного  обследования и комплексных аттестационных  испытаний объекта информатизации  и утверждение заключения по результатам аттестации. 
 
 
 
 
 

    3.4. Лицензирование в области защиты информации.

    Лицензирование - мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением и возобновлением действия лицензий, аннулированием лицензий и контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий.

    Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

    Деятельность  по лицензированию в области защиты информации выполняют ФСБ и ФСТЭК России. Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.

    Предоставление  услуг в области  шифрования информации. Разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.

    Существует  определенный порядок лицензирования видов деятельности:

    К соискателям лицензии предъявляются  требования о наличии у него комплекта  необходимых для осуществления  лицензируемой деятельности нормативных  правовых и нормативно-технических  документов, наличие помещений (соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании), производственного, испытательного и контрольно-измерительного оборудования (прошедшего в соответствии