Автор работы: Пользователь скрыл имя, 18 Февраля 2012 в 21:35, курсовая работа
Информационная безопасность Российской Федерации (РФ) является одной из составляющих национальной безопасности Российской Федерациии оказывает влияние на защищенность национальных интересов РФ в различных сферах жизнедеятельности общества и государства. В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности РФ.
Введение……………………………………………………………………..3
ГЛАВА I. ПРАВОВАЯ СИСТЕМА СЕРТИФИКАЦИИ ЗАШИТЫ ИНФОРМАЦИИ............................................................................6
1.1. Законодательство Российской Федерации об информации, информационных технологиях и о защите информации……………...8
1.2.Указы правовой системы сертификации защиты информации…....... 14
1.3. Постановление РФ правовой системы
сертификации защиты информации………………………………………..18
1.4.Руководящие документы ФСТЭК России……………………………..21
1.5. Документы по созданию автоматизированных систем и систем защиты информации…………………………………………….25
ГЛАВА II . ОБЪЕКТ СЕРТИФИКАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ…………….28
2.1. Типовые требования к содержанию и порядку разработки руководства по защите информации от технических разведок и её утечки по техническим каналам.......................................................28
2.2. Основное содержание Руководства по защите информации………..29
2.3. Порядок разработки, согласования и утверждения
руководства по защите информации…………………………………...33
2.4. Государственная система защиты информации………………….......34
2.5. Методы и способы защиты информации в информационных системах персональных данных…………………35
ГЛАВА III. ПОРЯДОК ПОЛУЧЕНИЯ И ЛИЦЕНЗИИСЕРТИФИКАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ…………………………………………………37
3.1. Аттестация в области защиты информации…………………………..37
3.2. Система аттестации объектов информатизации по
требованиям безопасности информации…………………………………..39
3.3. Подготовки к аттестации из следующего основного перечня работ………………………………………………..40
3.4. Лицензирование в области защиты информации…………………….41
3.5. Условия и порядок получения лицензии ФСТЭК, СКЗИ....................44
3.6. Порядок получения лицензии ФСТЭК на право технической защиты конфиденциальной информации………………..45
3.7. Лицензирование деятельности по разработке и производству средств технической защиты информации СКЗИ……………………...46
3.8. Обязанности предприятий, действующих на основании лицензии ФСТЭК………………………………………....47
3.9. Сертификация в области защиты информации………………………..47
Заключение………………………………………………………………55
Библиография…………………………………………
с законодательством РФ метрологическую поверку (калибровку), маркирование и сертификацию) и подготовленных специалистов в области защиты информации (имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации). Так же необходимым является использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством РФ, использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем.
Для получения лицензии, заявителю необходимо предоставить следующие документы:
- Заявление о предоставлении лицензии с указанием наименования и организационно-правовой формы юридического лица, места его нахождения для юридического лица; фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, - для индивидуального предпринимателя; лицензируемого вида деятельности, который юридическое лицо или индивидуальный предприниматель намерены осуществлять
- Копии учредительных документов и копия свидетельства о государственной регистрации соискателя.
- Копия документа о государственной регистрации гражданина в качестве индивидуального предпринимателя.
- Копия свидетельства о постановке соискателя лицензии на учет в налоговом органе.
Документ, подтверждающий уплату государственной пошлины за рассмотрение лицензирующим органом заявления о предоставлении лицензии.
Сведения о квалификации работников соискателя лицензии. Копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств).
Копии
документов, подтверждающих право собственности,
право хозяйственного ведения или
оперативного управления на помещения,
предназначенные для
Копии аттестатов соответствия защищаемых помещений требованиям безопасности информации.
Копии технического паспорта автоматизированной системы с приложениями, акта классификации автоматизированной системы по требованиям безопасности информации, плана размещения основных и вспомогательных технических средств и систем, аттестата.
Соответствия автоматизированной системы требованиям безопасности информации или сертификата соответствия автоматизированной системы требованиям безопасности информации, а также перечень защищаемых в автоматизированных системах ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описание технологического процесса обработки информации в автоматизированной системе.
Копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и базы данных
Сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования
Сведения об имеющихся у соискателя лицензии нормативных правовых актах, нормативно-методических и методических документах по вопросам технической защиты информации
Пояснительная
записка (сведения об основном виде (видах)
деятельности соискателя лицензии; о
том какие мероприятия и (или)
услуги по технической защите конфиденциальной
информации предполагает осуществлять
(осуществляет) соискатель лицензии; перечень
КИ, защищаемой (подлежащей защите) в организации;
сведения об объектах информатизации,
на которых обрабатывается КИ с приложением
копий сертификатов (аттестатов по требованиям
безопасности информации) на эти объекты;
с помощью каких средств осуществляется
обработка и защита КИ; какое ПО используется
для обработки КИ (с приложением копий
договоров пользователей с правообладателем
и сертификатов соответствия); в случае
оказания услуг – перечень контрольно-измерительной
аппаратуры, средств контроля защищенности
информации; перечень нормативной и нормативно-методической
литературы, необходимой для осуществления
заявляемых видов деятельности)
3.5. Условия и порядок получения лицензии ФСТЭК, СКЗИ.
ФСТЭК (Федеральная служба по техническому и экспортному контролю) выдает лицензии организациям, осуществляющим услуги по технической защите информации, а также занимающимся разработкой и распространением программ защиты информации.
Основными и наиболее часто востребованными являются следующие лицензии ФСТЭК:
-
на деятельность по тех.
- на осуществление мероприятий или оказание услуг в области защиты гостайны (в части техзащиты информации);
- на работы, связанные с созданием СКЗИ;
- на деятельность по разработке или производству СКЗИ.
Лицензирование деятельности по технической защите конфиденциальной информации.
Лицензирование деятельности в области защиты информации - важнейшая составляющая государственной системы защиты информации. Конфиденциальные сведения должны обрабатываться при использовании сертифицированных программных средств защиты. Объектом исследования являются все средства, применяемые для защиты информации, учитываются условия и характер эксплуатации объектов. Самым эффективным способам проверки соответствия информационных средств защиты действующим нормативам является привлечение сотрудников, имеющих лицензию ФСТЭК на проведение данной категории работ.
3.6. Порядок получения лицензии ФСТЭК на право технической защиты конфиденциальной информации.
Получение лицензии ФСТЭК на право осуществлять техническую защиту конфиденциальной информации возможно только после проведения детального обследования объекта. Проводится такое обследование независимой организацией, имеющей лицензию ФСТЭК на выполнение исследовательских работ в области защиты информации. По результатам проверки составляется протокол с заключениями и рекомендациями. Если все нормативные требования выполняются и лицензиат располагает нормативной и методической документацией, технической базой, квалифицированным инженерным персоналом, способным обеспечить защиту информации, организации выдается аттестат соответствия.
После проведения экспертизы подается заявление на получение лицензии на защиту конфиденциальной информации в орган по лицензированию (лицензионный центр ФСТЭК). Для рассмотрения заявки обязательными документами являются: представление органа государственной власти РФ, материалы проведенной экспертизы, копии правоустанавливающих документов. Организация может получить отказ в выдаче лицензии в том случае, если одно из перечисленных в законе требований не выполняется. Если разрешение на лицензионную деятельность выдано не было, лицензиат может привлечь специалистов ФСТЭК к выполнению услуг по защите СКЗИ, заключив с лицензиатом договор. Лицензия выдается сроком на 3 года.
3.7. Лицензирование деятельности по разработке и производству средств технической защиты информации СКЗИ.
Если одна организация разрабатывает информационную систему защиты персональных данных, а также средства защиты информации по заказу другой организации, отнесенных по классификации к классу К1 и К2, то такой вид деятельности подлежит обязательному лицензированию. В Соответствии с требованиями ФСТЭК, лицензия СЗКИ выдается выпускающим ИСПДн (информационные системы персональных данных) 1 и 2 класса.
К классу 1 (К1) относятся системы, которые должны обеспечивать на высоком уровне безопасность сведений. Нарушение безопасности может привести к особо серьезным негативным последствиям для физического лица или хранителя персональных данных. Класс 2 (К2) - последствия нарушения безопасности хранения информации - серьезные, К3 - последствия незначительные, К4 - без последствий.
Важнейшими системами, обеспечивающими защиту персональных сведений, не содержащих государственную тайну, являются криптографические (шифровальные) средства (СЗКИ - средства защиты конфиденциальной информации), биллинговые и CRM-информационные системы. В настоящее время выпускаются аппаратные, программные и комбинированные средства, служащие для защиты информации при использовании канальной связи, а также средства, обеспечивающие защиту информации от несанкционированного доступа. Лицензия на производство средств шифрования и иных СЗКИ выдается органами ФСТЭК, а лицензия на шифрование, монтаж, обслуживание и уничтожение шифровальных средств выдается ФСБ.
3.8.
Обязанности предприятий,
действующих
Лицензиаты
обязаны действовать в
телефонных переговоров, документальных сообщений. В государственный орган по лицензированию ежегодно отправляются отчеты о количестве проведенных мероприятий, оказанных услуг по каждому виду лицензионной деятельности.
3.9. Сертификация в области защиты информации.
Понятия сертификации- это процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям. Если говорить о сертификации применительно к средствам защиты информации, то это деятельность по подтверждению их соответствия требованиям технических регламентов, национальных стандартов или иных нормативных документов по защите информации.
Вся система сертификации обеспечивает достижение прежде всего национальной безопасности в сфере информатизации. Cодействие формированию рынка защищенных информационных технологий и средств их обеспечения, регулирование и контроль разработки, а также последующего производства средств защиты информации, помощь потребителям в компетентном выборе средств защиты информации, защита потребителя от недобросовестности исполнителя (продовца, изготовителя), подтверждение показателей качества продукции.
Сертификации подлежат технические, программные, программно-аппаратные средства защиты информации, средства в которых реализованы СЗИ и средства контроля эффективности защиты информации.
Срок действия сертификата составляет 3 года срок действия сертификата не может превышать пяти лет. Действие сертификата может быть продлено если не изменилось, например, количество и состав изделий подлежащих сертификации, не изменились требования, предъявляемые к СЗИ при сертификации, не изменились технические условия или конструкция изделий. В противном случае, проводится первичная сертификация (то есть в полном объеме, как и при первой сертификации).
орган по сертификации - юридическое лицо или индивидуальный предприниматель, аккредитованные в установленном порядке для выполнения работ по сертификации;
оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
Последовательность действий, совершаемых должностными лицами таможенных органов при обнаружении признаков, указывающих на то, что заявленные при декларировании товаров сведения, влияющие на применение к товарам запретов и ограничений, установленных в соответствии с законодательством РФ о государственном регулировании внешнеторговой
деятельности, должным образом не подтверждены. (27)
Система сертификации средств защиты информации - представляет собой совокупность участников сертификации, осуществляющих её по установленным правилам.
Системы
сертификации создаются Федеральной
службой безопасности Российской Федерации,
Федеральной службой