Meniul
AcasăYandex

Procesul de obținere a unei licențe pentru a desfășura activități de securitate a informațiilor. Licență FSTEC Rusia

Licențierea în domeniul securității informațiilor este o activitate care presupune transferul sau obținerea de drepturi pentru a desfășura activități în domeniul securității informațiilor. Politica statului în domeniul licențierii anumitor tipuri de activități și al asigurării protecției intereselor vitale ale individului, societății și statului este determinată prin Hotărâre de Guvern. Federația Rusă din 24 decembrie 1994 nr. 1418 „Cu privire la acordarea de licențe pentru anumite tipuri de activități” (modificată prin Rezoluțiile Guvernului Federației Ruse din 05.05.95 nr. 450, din 06.03.95 nr. 549, din 08.07.95 nr. 796, din 12.10.95 Nr. 1001, din 22.04.97 Nr. 462, din 12.01.97 Nr. 1513, vezi şi rezoluţia din 02.11.02 Nr. 135).

O licență este o autorizație de a efectua lucrări în domeniul securității informațiilor. O licență se eliberează pentru anumite tipuri de activități timp de trei ani, după care se reînregistrează în modul stabilit pentru eliberarea licenței.

Licența se eliberează dacă întreprinderea care a solicitat o licență are condițiile de acordare a licenței: o bază de producție și testare, documentație de reglementare și metodologică și are personal științific, ingineresc și tehnic.

Structura organizatorică a sistemului de licențiere de stat pentru activitățile întreprinderilor din domeniul securității informațiilor este formată din:

· autorităţile de licenţiere de stat;

· centre de autorizare;

· întreprinderile solicitante.

Organisme guvernamentale pentru licentiere:

· organizarea de licențe de stat obligatorii pentru activitățile întreprinderilor;

· eliberează licențe de stat întreprinderilor solicitante;

· coordonează componența comisiilor de experți reprezentate de centrele de licențiere;

· exercita controlul si supravegherea integralitatii si calitatii lucrarilor desfasurate de licentiati in domeniul securitatii informatiilor.

Centre de licență:

· să formeze comisii de experți și să prezinte componența acestora spre aprobare conducătorilor organismelor de licențiere de stat relevante, care sunt FSTEC și FSB;

· planifică și efectuează lucrări de examinare a întreprinderilor solicitante;

· controlează integralitatea și calitatea lucrărilor efectuate de titularii de licență.

Centrele de licențiere din cadrul organismelor de licențiere de stat sunt create prin ordine ale conducătorilor acestor organisme. Comisiile de experți sunt formate din rândul specialiștilor din industrii și organisme competente în domeniul relevant al protecției informațiilor controlat de guvern, alte organizații și instituții. Comisiile de experți sunt create în unul sau mai multe domenii de protecție a informațiilor.

Următoarele sunt supuse licenței de către FSTEC din Rusia:

· certificare, teste de certificare a mijloacelor tehnice protejate de prelucrare a informațiilor (STI), tehnice și software protecție, mijloace de monitorizare a eficacității măsurilor de securitate a informațiilor, instrumente de procesare software, protecție și control al securității;

· certificarea sistemelor informatice, sisteme automatizate sisteme de management, comunicații și transmisii de date, facilități TV și spații dedicate pentru conformitatea cu cerințele ghidurilor și documentelor de reglementare privind securitatea informațiilor;

· dezvoltarea, producerea, vânzarea, instalarea, punerea în funcțiune, instalarea, repararea, întreținerea obiectelor informatice protejate, mijloace tehnice de protecție și control al eficacității măsurilor de securitate a informațiilor, instrumente software protejate pentru prelucrarea, protecția și controlul securității informațiilor;

Efectuarea de studii speciale pentru efectele secundare radiatie electromagneticași orientare (PEMIN) TSOI;

· proiectarea obiectelor protejate.

Organismul de licențiere este responsabil pentru:

· elaborarea de reguli, proceduri și documente normative și metodologice privind problemele de licențiere;

· implementarea managementului științific și metodologic al activităților de licențiere;

· publicare informatie necesara despre sistemul de licențiere;

· luarea în considerare a cererilor din partea organizațiilor și unitati militare privind eliberarea licențelor;

· coordonarea declarațiilor cu unitățile militare responsabile de domeniile relevante de protecție a informațiilor;

· coordonarea componenței comisiilor de experți;

· organizarea şi desfăşurarea examenelor speciale;

· luarea unei decizii privind eliberarea licenței;

· eliberarea licenţelor;

· luarea unei decizii privind suspendarea, reînnoirea unei licențe sau anularea acesteia;

· ținerea unui registru al licențelor eliberate, suspendate, reînnoite și anulate;

· achiziționarea, contabilizarea și păstrarea formularelor de licență;

· organizarea muncii centrelor de certificare;

· monitorizarea completității și calității lucrărilor desfășurate de licențiați.

În conformitate cu articolul 17 din Legea federală din 08.08.2001 nr. 128-FZ „Cu privire la acordarea de licențe pentru anumite tipuri de activități” (modificată prin Legea federală din 02.07.2005 nr. 80-FZ), următoarele tipuri de activități (din domeniul securității informațiilor) fac obiectul licenței:

· activități de distribuire a instrumentelor de criptare (criptografice);

· activități pe întreținere mijloace de criptare (criptografice);

· prestarea de servicii in domeniul criptarii informatiilor;

· dezvoltarea, producerea mijloacelor de criptare (criptografice) protejate prin mijloace de criptare (criptografice). sisteme de informare, sisteme de telecomunicații;

· activități pentru dezvoltarea și (sau) producția de echipamente de protecție informații confidențiale; activități pe protectie tehnica informații confidențiale;

· activități de identificare dispozitive electronice, destinate obținerii în secret de informații în spații și mijloace tehnice (cu excepția cazului în care activitatea specificată este desfășurată pentru a satisface propriile nevoi entitate legală sau antreprenor individual).

În cadrul tipurilor de activități luate în considerare, au fost emise decrete separate ale Guvernului Federației Ruse, care explică procedura de licențiere. Printre ei:

· Decretul Guvernului Federației Ruse din 26 ianuarie 2006 nr. 45 „Cu privire la organizarea acordării de licențe pentru anumite tipuri de activități”; Decretul Guvernului Federației Ruse din 15 august 2006 nr. 504 „Cu privire la activitățile de licențiere pentru protecția tehnică a informațiilor confidențiale”;

· Decretul Guvernului Federației Ruse din 31 august 2006 nr. 532 „Cu privire la activitățile de licențiere pentru dezvoltarea și (sau) producerea de mijloace de protecție a informațiilor confidențiale”;

· Decretul Guvernului Federației Ruse din 23 septembrie 2002 nr. 691 „Cu privire la aprobarea reglementărilor privind acordarea de licențe pentru anumite tipuri de activități legate de mijloacele de criptare (criptografice)”.

În conformitate cu aceste documente, licențiații sunt obligați să transmită anual autorității de acordare a licențelor sau centrului de certificare informații cu privire la numărul de lucrări efectuate pentru anumite tipuri de activități specificate în licență. Licențiații sunt responsabili de integralitatea și calitatea lucrărilor efectuate, asigurând securitatea secretelor de stat care le sunt încredințate în cadrul activităților practice.

Licențierea în domeniul securității informațiilor este o activitate care presupune transferul sau obținerea de drepturi pentru a desfășura activități în domeniul securității informațiilor. Politica de stat în domeniul acordării de licențe a anumitor tipuri de activități și al asigurării protecției intereselor vitale ale individului, societății și statului este determinată de Decretul Guvernului Federației Ruse din 24 decembrie 1994 nr. 1418 „Cu privire la acordarea de licențe pentru anumite tipuri de activități” (modificat prin Decretele Guvernului Federației Ruse din 05.05.95 nr. 450, din 06/03/95 nr. 549, din 08/07/95 nr. 796, din 12/10/95 Nr. 1001, din 22.04.97 Nr. 462, din 12.01.97 Nr. 1513, vezi si rezolutia din 11.02.02 Nr. 135).

O licență este o permisiune de a efectua lucrări în domeniul securității informațiilor. O licență se eliberează pentru anumite tipuri de activități timp de trei ani, după care se reînregistrează în modul stabilit pentru eliberarea licenței.

Licența se eliberează dacă întreprinderea care a solicitat o licență are condițiile de acordare a licenței: o bază de producție și testare, documentație de reglementare și metodologică și are personal științific, ingineresc și tehnic.

Structura organizatorică a sistemului de licențiere de stat pentru activitățile întreprinderilor din domeniul securității informațiilor este formată din:

· autorităţile de licenţiere de stat;

· centre de autorizare;

· întreprinderile solicitante.

Autoritățile de stat de licențiere:

· organizarea de licențe de stat obligatorii pentru activitățile întreprinderilor;

· eliberează licențe de stat întreprinderilor solicitante;

· coordonează componența comisiilor de experți reprezentate de centrele de licențiere;

· exercita controlul si supravegherea integralitatii si calitatii lucrarilor desfasurate de licentiati in domeniul securitatii informatiilor.

Centre de licență:

· să formeze comisii de experți și să prezinte componența acestora spre aprobare conducătorilor organismelor de licențiere de stat relevante, care sunt FSTEC și FSB;

· planifică și efectuează lucrări de examinare a întreprinderilor solicitante;

· controlează integralitatea și calitatea lucrărilor efectuate de titularii de licență.

Centrele de licențiere din cadrul organismelor de licențiere de stat sunt create prin ordine ale conducătorilor acestor organisme. Comisiile de experți sunt formate din rândul specialiștilor din industrii, organisme guvernamentale și alte organizații și instituții competente în domeniul relevant al securității informațiilor. Comisiile de experți sunt create în unul sau mai multe domenii de protecție a informațiilor.

Următoarele sunt supuse licenței de către FSTEC din Rusia:

· certificare, teste de certificare a mijloacelor tehnice securizate de prelucrare a informațiilor (STI), instrumente de securitate hardware și software, mijloace de monitorizare a eficacității măsurilor de securitate a informațiilor, instrumente de prelucrare software, protecție și control al securității;

· certificarea sistemelor informatice, a sistemelor automate de control, a sistemelor de comunicații și transmitere a datelor, a instalațiilor TV și a spațiilor dedicate pentru conformitatea cu cerințele ghidurilor și documentelor de reglementare privind securitatea informațiilor;

· dezvoltarea, producerea, vânzarea, instalarea, punerea în funcțiune, instalarea, repararea, întreținerea obiectelor informatice protejate, mijloace tehnice de protecție și control al eficacității măsurilor de securitate a informațiilor, instrumente software protejate pentru prelucrarea, protecția și controlul securității informațiilor;

· Efectuarea de studii speciale privind radiațiile electromagnetice parasite și interferența (PEMIN) TSOI;

· proiectarea obiectelor protejate.

Organismul de licențiere este responsabil pentru:

· elaborarea de reguli, proceduri și documente normative și metodologice privind problemele de licențiere;

· implementarea managementului științific și metodologic al activităților de licențiere;

· publicarea informațiilor necesare despre sistemul de licențiere;

· luarea în considerare a cererilor din partea organizațiilor și unităților militare pentru eliberarea licențelor;

· coordonarea declarațiilor cu unitățile militare responsabile de domeniile relevante de protecție a informațiilor;

· coordonarea componenței comisiilor de experți;

· organizarea şi desfăşurarea examenelor speciale;

· luarea unei decizii privind eliberarea licenței;

· eliberarea licenţelor;

· luarea unei decizii privind suspendarea, reînnoirea unei licențe sau anularea acesteia;

· ținerea unui registru al licențelor eliberate, suspendate, reînnoite și anulate;

· achiziționarea, contabilizarea și păstrarea formularelor de licență;

· organizarea muncii centrelor de certificare;

· monitorizarea completității și calității lucrărilor desfășurate de licențiați.

În conformitate cu articolul 17 din Legea federală din 08.08.2001 nr. 128-FZ „Cu privire la acordarea de licențe pentru anumite tipuri de activități” (modificată prin Legea federală din 02.07.2005 nr. 80-FZ) sunt supuse licenței următoarele tipuri activități (în domeniul securității informațiilor):

· activități de distribuire a instrumentelor de criptare (criptografice);

· activități legate de întreținerea instrumentelor de criptare (criptografice);

· prestarea de servicii în domeniul criptării informațiilor;

· dezvoltarea, producerea mijloacelor de criptare (criptografice) protejate cu ajutorul mijloacelor de criptare (criptografice) a sistemelor informatice, a sistemelor de telecomunicații;

· activități pentru dezvoltarea și (sau) producerea de mijloace de protecție a informațiilor confidențiale; activități de protecție tehnică a informațiilor confidențiale;

· activități de identificare a dispozitivelor electronice destinate obținerii în secret a informațiilor în incintă și mijloace tehnice(cu excepția cazului în care activitatea specificată este desfășurată pentru a răspunde nevoilor proprii ale unei persoane juridice sau ale unui antreprenor individual).

În cadrul tipurilor de activități luate în considerare, au fost emise decrete separate ale Guvernului Federației Ruse, care explică procedura de licențiere. Printre ei:

· Decretul Guvernului Federației Ruse din 26 ianuarie 2006 nr. 45 „Cu privire la organizarea acordării de licențe pentru anumite tipuri de activități”; Decretul Guvernului Federației Ruse din 15 august 2006 nr. 504 „Cu privire la activitățile de licențiere pentru protecția tehnică a informațiilor confidențiale”;

· Decretul Guvernului Federației Ruse din 31 august 2006 nr. 532 „Cu privire la activitățile de licențiere pentru dezvoltarea și (sau) producerea de mijloace de protecție a informațiilor confidențiale”;

· Decretul Guvernului Federației Ruse din 23 septembrie 2002 nr. 691 „Cu privire la aprobarea reglementărilor privind acordarea de licențe pentru anumite tipuri de activități legate de mijloacele de criptare (criptografice)”.

În conformitate cu aceste documente, licențiații sunt obligați să transmită anual autorității de acordare a licențelor sau centrului de certificare informații cu privire la numărul de lucrări efectuate pentru anumite tipuri de activități specificate în licență. Licențiații sunt responsabili de integralitatea și calitatea lucrărilor efectuate, asigurând securitatea secretelor de stat care le sunt încredințate în cadrul activităților practice.

Pentru funcționarea normală a sistemelor de management electronic a documentelor (EDM), este necesară elaborarea unor proceduri de soluționare a eventualelor conflicte. O parte la astfel de conflicte, pe lângă participanții la EDF și compania furnizor, poate fi și o companie de dezvoltare de software.

Se presupune că contractul cu compania de dezvoltare ia în considerare disponibilitatea unui eșantion de referință software, care pot fi stocate numai de către compania furnizorului sau de către toți participanții la EDF. Acest lucru necesită îndeplinirea a două condiții de bază:

trebuie să se documenteze că fiecare participant la sistemul EDF (inclusiv compania furnizor) are instalat software care corespunde eșantionului de referință;

stocarea mostrelor de referință este organizată în așa fel încât să excludă posibilitatea modificării eșantionului de referință de software fără știrea părților.

Acest mod poate fi asigurat de un sistem de mai multe chei publice.

Astăzi, când tehnologiile informaționale moderne sunt introduse intens în toate sferele vieții și activității societății, cea națională și, ca parte a acesteia, securitatea economică a statului începe să depindă direct de asigurarea securității informației. De aceea, pentru a crea garanții care să asigure durabilitatea necesară a mijloacelor de protecție a informațiilor, statul își asumă responsabilitatea pentru autorizarea activităților organizațiilor implicate în protecția informațiilor și certificarea mijloacelor tehnice relevante.

Nivelul actual de protecție împotriva amenințărilor externe ale informațiilor la nivel global rețele deschise nu poate fi considerată satisfăcătoare: Rusia încă nu are o strategie cuprinzătoare și dovedită tehnic în acest domeniu. Pentru a schimba situația, trebuie dezvoltat și implementat imediat un set de măsuri în domeniul legislației și standardizării mijloacelor de asigurare a securității informațiilor în Rusia. Sarcinile prioritare în această direcție includ:

· adoptarea unei legi speciale, asemănătoare „Computer Security Act” din SUA, care responsabilizează agențiile guvernamentale specifice pentru sprijinirea metodologică a muncii în domeniul securității informațiilor;

· dezvoltarea unor abordări unificate pentru asigurarea securității pentru organizații de diferite profiluri, dimensiuni și forme de proprietate;

· asigurarea apariției pe piață a unui număr suficient de diverse instrumente certificate pentru rezolvarea problemelor de securitate a informațiilor.

Una dintre problemele în domeniul protecției informațiilor în Rusia este lipsa documentelor oficiale cu recomandări detaliate privind construirea de sisteme informatice sigure similare celor dezvoltate, de exemplu, de Institutul American tehnologii standard(SUA) și standard britanic. Deși nu există reglementări în Marea Britanie care să impună conformitatea cu standardele guvernamentale, aproximativ 60% dintre firmele și organizațiile britanice folosesc în mod voluntar standardul dezvoltat, iar restul intenționează să implementeze recomandările acestuia în viitorul apropiat.

Licențierea și certificarea în domeniul sistemelor de securitate a informațiilor pot reduce gravitatea acestei probleme. Este necesar să se ofere utilizatorului garanții că instrumentele de securitate a informațiilor pe care le utilizează sunt capabile să ofere nivelul necesar de protecție. Licențiarea este cea care poate asigura că doar specialiștii cu înaltă calificare în acest domeniu se vor ocupa de problema securității informațiilor, iar produsele pe care le creează vor fi la nivelul corespunzător și vor putea trece certificarea.

Fără certificare, este imposibil să se evalueze dacă un anumit produs conține capabilități nedocumentate potențial dăunătoare, a căror prezență este tipică pentru majoritatea produselor străine, ceea ce poate duce la un moment dat la defecțiuni ale sistemului și chiar la consecințe ireversibile pentru acesta. Un exemplu tipic de așa ceva caracteristici nedocumentate este stabilit de Ericsson în timpul dezvoltării sale centrale telefonice, pe baza căreia Ministerul Căilor Ferate al Federației Ruse își construiește rețeaua telefonică, capacitatea de a bloca funcționarea acestora la primirea unui apel de la un anumit număr de telefon, pe care firma refuză să o numească. Și acest exemplu nu este singurul.

Procesul de certificare a unui produs software durează aproximativ același timp cu dezvoltarea sa și este practic imposibil fără codurile sursă ale programelor cu comentarii. În același timp, multe companii străine nu vor să reprezinte textele sursă produsele lor software către centrele de certificare din Rusia. De exemplu, în ciuda acordului de principiu Microsoft certificarea în Rusia a sistemului de operare Windows NT, în care au fost deja identificate peste 50 de erori legate de securitate, această problemă nu a putut avansa de mai multe luni din cauza lipsei codurilor sale sursă.

Dificultățile cu certificarea duc la faptul că cele mai simple produse din aceeași clasă primesc mai întâi un certificat, motiv pentru care par mai fiabile pentru utilizator. Perioadele lungi de certificare duc la faptul ca firma de dezvoltare reuseste sa-l aduca pe piata versiune noua a produsului dvs., iar procesul devine nesfârșit.

Certificarea mijloacelor tehnice de securitate a informațiilor este dificil de realizat fără standarde adecvate, a căror creare în Rusia este, nu în ultimul rând, împiedicată de lipsa resurselor financiare. Această problemă poate fi rezolvată dacă există mai multe firme interesate de vânzări și mai multe organizații interesate să utilizeze mijloacele tehnice adecvate. De exemplu, rodul eforturilor comune ale unor astfel de organizații, firme și FSTEC (fostă Comisia Tehnică de Stat (STC)) a fost dezvoltarea Materialului Tehnic de Ghid al Comitetului Vamal de Stat al Federației Ruse „Facilități de calculatoare. Firewall-uri. Protecție. împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații. A făcut posibilă clasificarea instrumentelor care sunt capabile, într-o oarecare măsură, să protejeze rețelele corporative de intruziunile externe.

Documentul presupune existența mai multor clase de firewall-uri: de la cele mai simple, care permit doar controlul fluxurilor de informații, până la cele mai complexe, realizând recodificarea completă a informațiilor primite, protejând complet rețeaua corporativă din influențele externe. Deja astăzi certificare pentru conformitate specificatii tehnice, elaborat în conformitate cu Materialul de îndrumare tehnică, care este permis legislatia actuala, a trecut astfel firewall-uri, cum ar fi Sun Screen, SKIPbridge și Pandora. Cu toate acestea, certificarea lor nu a fost lipsită de luptă.

Ținând cont de cerințele securității informațiilor și de practica mondială în domeniul securității informațiilor, pare oportun ca Rusia să se alăture sistemelor existente de standardizare și certificare internațională. tehnologia Informatiei, ceea ce în practică înseamnă:

· aducerea standardelor naționale și industriale în conformitate cu cele internaționale;

· participarea reprezentanților ruși la sistemele internaționale de certificare (inclusiv teste de certificare);

· posibilitatea recunoașterii certificatelor internaționale în Rusia.

În plus, în conformitate cu legislația în vigoare, orice organizație angajată în colectarea și prelucrarea datelor cu caracter personal (de exemplu, tranzacții cu carduri de plastic) trebuie să aibă o licență pentru a se angaja în astfel de activități și pentru a utiliza mijloace certificate pentru aceasta.

FSTEC din Rusia (fostă Comisie Tehnică de Stat) a dezvoltat necesarul baza normativăîn domeniul protecției informațiilor împotriva accesului neautorizat. Să luăm în considerare structura principalelor documente de guvernare.

1. « Protecție împotriva accesului neautorizat la informații. Termeni și definiții"– stabilește un standard terminologic uniform în domeniul protecției fondurilor tehnologia calculatoarelorși sisteme automate împotriva accesului neautorizat la informații, care este obligatoriu pentru utilizare în toate tipurile de documentație.

2. « Conceptul de protecție a echipamentelor informatice și a sistemelor automatizate de accesul neautorizat la informații”– descrie principiile de bază pe baza cărora se pune problema protecției informațiilor împotriva accesului neautorizat și relația cu acestea Problemă comună securitatea informatiei. Conceptul reflectă următoarele aspecte: definiția accesului neautorizat, principiile de bază ale protecției, modelul intrusului în sistemele automatizate, principalele metode de acces neautorizat, principalele direcții de asigurare a protecției, principalele caracteristici ale mijloacelor tehnice de protecție, clasificarea sistemelor automatizate, organizarea muncii de protectie. Acest concept este destinat clienților, dezvoltatorilor și utilizatorilor tehnologiei informatice și sistemelor automatizate, al căror scop principal este prelucrarea, stocarea și transmiterea informațiilor protejate.

3. „Mijloace de securitate a informațiilor. Protecția informațiilor din casele de marcat și sistemele automate de casă. Clasificarea caselor de marcat, a sistemelor automate de numerar și a cerințelor pentru protecția informațiilor”– stabilește clasificarea caselor de marcat, a sistemelor automatizate de casă, a tehnologiilor informaționale și a cerințelor de protecție a informațiilor legate de impozite. În conformitate cu acest document, 2 clase de aparate de marcat, sisteme automate de numerar și tehnologia de informație. Prima clasă include sisteme care procesează informații despre fluxurile de numerar în valoare de până la 350 de salarii minime pe zi, iar a doua - în valoare de peste 350 de salarii minime.

4. „Facilități informatice. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații”– reglementează cerințele de securitate a echipamentelor informatice împotriva accesului neautorizat, aplicate software-ului la nivel de sistem și sisteme de operare. Există șapte clase de securitate, care sunt împărțite în patru grupuri. Fiecare clasă conține o listă de mecanisme necesare pentru implementarea protecției informațiilor împotriva accesului neautorizat.

5. „Sisteme automatizate. Protecție împotriva accesului neautorizat la informații. Clasificarea sistemelor automate și cerințele pentru protecția informațiilor”– clasifică sistemele automatizate în funcție de prezența informațiilor în acestea de diferite niveluri de confidențialitate, niveluri de autoritate ale subiecților de acces, moduri de prelucrare a datelor în nouă clase și prevede un set de cerințe pentru fiecare dintre ele. În funcție de caracteristicile procesării informațiilor în sistemele automate, clasele sunt împărțite în trei grupe.

6. „Tehnologia computerelor. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații”– declară cerințe pentru diferite clase de firewall-uri. Există cinci clase de securitate firewall în total. Clasificarea se face in functie de clasa de securitate a sistemelor automate, pentru protectia carora se foloseste un firewall.

Pe baza documentelor de guvernare și a cadrului de reglementare al FSTEC din Rusia, se realizează dezvoltarea, certificarea și utilizarea mijloacelor de protecție a informațiilor împotriva accesului neautorizat, precum și acordarea de licențe a întreprinderilor pentru dreptul de a opera în domeniul protecției informațiilor pe teritoriul Federației Ruse.

Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos

Buna treaba la site">

Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.

postat pe http://www.allbest.ru/

Ministerul Transporturilor al Federației Ruse

Agenția Federală pentru Transport Feroviar bugetul statului federal instituție educațională studii profesionale superioare

„Orientul Îndepărtat Universitate de stat moduri de comunicare"

Departamentul Drept Civil, Afaceri și Transporturi

Disciplina: Suport juridic securitatea informatiei

Tema: Licențiere și certificare în domeniul securității informațiilor

Completat de student

Nepomnyashchaya Natalya Evghenievna

Verificat de: profesor de catedra:

Jeleznyakov Anatoli Mihailovici.

Habarovsk

Introducere

1. Licentiere in domeniul securitatii informatiilor

1.1 Autoritatea de acordare a licențelor - FSTEC din Rusia

1.2 Autoritatea de acordare a licențelor - FSB din Rusia

2. Certificare in domeniul securitatii informatiilor

2.1 Structura organizatorică a sistemului de certificare

2.2 Procedura de certificare

Concluzie

Bibliografie

Introducere

Una dintre problemele din domeniul securității informațiilor din Rusia este lipsa documentelor oficiale cu recomandări detaliate pentru construirea de sisteme informaționale securizate, similare celor dezvoltate, de exemplu, de Institutul American de Tehnologie Standard (SUA) și standardul britanic. Deși nu există reglementări în Marea Britanie care să impună conformitatea cu standardele guvernamentale, aproximativ 60% dintre firmele și organizațiile britanice folosesc în mod voluntar standardul dezvoltat, iar restul intenționează să implementeze recomandările acestuia în viitorul apropiat.

Licențierea și certificarea în domeniul sistemelor de securitate a informațiilor pot reduce gravitatea acestei probleme. Este necesar să se ofere utilizatorului garanții că instrumentele de securitate a informațiilor pe care le utilizează sunt capabile să ofere nivelul necesar de protecție. Licențiarea este cea care poate asigura că doar specialiștii cu înaltă calificare în acest domeniu se vor ocupa de problema securității informațiilor, iar produsele pe care le creează vor fi la nivelul corespunzător și vor putea trece certificarea.

Fără certificare, este imposibil să se evalueze dacă un anumit produs conține capabilități nedocumentate potențial dăunătoare, a căror prezență este tipică pentru majoritatea produselor străine, ceea ce poate duce la un moment dat la defecțiuni ale sistemului și chiar la consecințe ireversibile pentru acesta. Un exemplu tipic de astfel de capacități nedocumentate este cel stabilit de Ericsson la dezvoltarea centralelor telefonice, pe baza căruia Ministerul Căilor Ferate al Federației Ruse își construiește reteaua telefonica, capacitatea de a-și bloca munca atunci când primește un apel de la un anumit număr de telefon, pe care compania refuză să-l numească. Și acest exemplu nu este singurul.

Procesul de certificare a unui produs software durează aproximativ același timp cu dezvoltarea sa și este practic imposibil fără codurile sursă ale programelor cu comentarii. În același timp, multe companii străine nu doresc să furnizeze codurile sursă ale acestora produse software către centrele de certificare din Rusia. De exemplu, în ciuda acordului de principiu al Microsoft de a certifica sistemul de operare Windows NT din Rusia, în care au fost deja identificate peste 50 de erori legate de securitate, această problemă nu a putut avansa de mai multe luni din cauza lipsei sale. cod sursa.

Dificultățile cu certificarea duc la faptul că cele mai simple produse din aceeași clasă primesc mai întâi un certificat, motiv pentru care par mai fiabile pentru utilizator. Perioadele lungi de certificare duc la faptul că compania de dezvoltare are timp să aducă pe piață o nouă versiune a produsului său, iar procesul devine nesfârșit.

Certificarea mijloacelor tehnice de securitate a informațiilor este dificil de realizat fără standarde adecvate, a căror creare în Rusia este, nu în ultimul rând, împiedicată de lipsa resurselor financiare. Această problemă poate fi rezolvată dacă există mai multe firme interesate de vânzări și mai multe organizații interesate să utilizeze mijloacele tehnice adecvate. De exemplu, rodul eforturilor comune ale unor astfel de organizații, firme și FSTEC (fostă Comisia Tehnică de Stat (STC)) a fost dezvoltarea Materialului Tehnic de Ghid al Comitetului Vamal de Stat al Federației Ruse „Facilități de calculatoare. Firewall-uri. Protecție. împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații. A făcut posibilă clasificarea instrumentelor care sunt capabile, într-o oarecare măsură, să protejeze rețelele corporative de intruziunile externe.

Documentul presupune existența mai multor clase de firewall-uri: de la cele mai simple, care permit doar controlul fluxurilor de informații, până la cele mai complexe, care realizează recodificarea completă a informațiilor primite, protejând complet rețeaua corporativă de influențele externe. Deja în prezent, firewall-uri precum Sun Screen, SKIPbridge și Pandora au fost certificate pentru conformitatea cu specificațiile tehnice elaborate în conformitate cu Materialul de îndrumare tehnică, care este permis de legislația în vigoare. Cu toate acestea, certificarea lor nu a fost lipsită de luptă.

1. Licentiere in domeniul securitatii informatiilor

1.1 Autoritatea de acordare a licențelor - FSTEC din Rusia

Cerințele de licențiere pentru un solicitant pentru o licență pentru a desfășura activități pentru dezvoltarea și producerea SZKI (denumită în continuare licență) sunt:

1. solicitantul de licență are cel puțin doi specialiști cu studii superioare educatie profesionalaîn domeniul securității tehnice a informațiilor sau al învățământului superior tehnic sau secundar profesional (tehnic) și celor care au urmat cursuri de recalificare sau formare avansată în dezvoltarea și (sau) producerea securității informației; specialist în garanția protecției utilizatorilor

2. disponibilitatea spațiilor pentru desfășurarea tipului de activitate licențiat care îndeplinesc cerințele de documentație tehnică și tehnologică, standarde naționale și documente metodologice în OZI și aparțin solicitantului de licență pe drept de proprietate sau pe alt temei legal;

3. disponibilitate, pe drept de proprietate sau pe un alt temei legal, a echipamentelor de control și măsurare necesare desfășurării tipului de activitate licențiat (care a trecut verificarea metrologică (calibrarea) și marcarea în conformitate cu legislația Federației Ruse) , echipamente de producție și testare;

4. disponibilitatea programelor destinate implementării tipului de activitate licențiat (inclusiv software pentru dezvoltarea SZKI) pentru calculatoare electronice și baze de date deținute de solicitantul licenței pe drept de proprietate sau pe un alt temei legal;

5. disponibilitatea licențelor deținute de solicitant cu privire la dreptul de proprietate sau pe un alt temei legal, documentația tehnică și tehnologică, documentația care conține standarde naționale și documentele metodologice necesare desfășurării tipului de activitate licențiat în conformitate cu lista aprobată de către FSTEC din Rusia;

6. prezența unui sistem de control al producției, inclusiv reguli și proceduri de verificare și evaluare a sistemului de dezvoltare a SZKI, ținând cont de modificările aduse documentației de proiectare și inginerie pentru produsele în curs de dezvoltare

7. prezența unui sistem de control al producției, inclusiv reguli și proceduri pentru verificarea și evaluarea sistemului de producție SZKI, evaluarea calității produselor și a coerenței setați parametri, contabilizarea modificărilor aduse documentației tehnice și de proiectare pentru produsele fabricate, contabilizarea produselor finite V. Kiyaev, O. Granichin // Securitatea sistemelor informaționale // Universitatea Națională Deschisă „INTUIT” * 2016 // pp. 105-106

1.2 Autoritatea de acordare a licențelor - FSB din Rusia

Cerințele de licență pentru un solicitant de licență sunt:

1Persoane din personalul solicitantului de licență pentru postul principal conform masa de personal urmatorul personal calificat:

2. un manager și (sau) o persoană autorizată să supravegheze munca într-un tip de activitate licențiat, având o educație profesională superioară în domeniul securității informațiilor în conformitate cu „Clasificatorul de specialități din întreaga Rusie” și (sau) care a urmat recalificare într-una din specialitățile din acest domeniu (perioada normativă - peste 500 de ore de clasă), precum și deținerea de minimum 5 ani de experiență în domeniul muncii prestate într-un tip de activitate licențiat;

3.lucrători ingineri și tehnici (cel puțin două persoane) care au o educație profesională superioară în domeniul securității informațiilor în conformitate cu „Clasificatorul de specialități integral rusesc” și (sau) au urmat recalificare în această specialitate (perioada normativă - peste 100 de ore de clasă);

4.disponibilitatea spațiilor pentru desfășurarea tipului de activitate licențiat care îndeplinesc cerințele documentației tehnico-tehnologice, standardelor naționale și documentelor metodologice în domeniul proprietății industriale și aflate în proprietatea solicitantului licenței cu privire la dreptul de proprietate sau pe un alt temei legal; ;

5. Solicitantul de licență are, pe drept de proprietate sau pe un alt temei legal, echipamente de control și măsurare (care au fost supuse verificării metrologice (calibrare) și marcajului în conformitate cu legislația Federației Ruse), echipamente de producție, de testare și alte dotări necesare implementării tipului de activitate licențiat;

6.disponibilitatea programelor destinate implementării tipului de activitate licențiat (inclusiv software pentru dezvoltarea SZKI) pentru calculatoare electronice și baze de date deținute de solicitantul licenței pe drept de proprietate sau pe un alt temei legal;

7.disponibilitatea instrumentelor de prelucrare a informațiilor certificate conform cerințelor de securitate a informațiilor, utilizate pentru dezvoltarea și producerea sistemelor de protecție a informațiilor, în conformitate cu cerințele de protecție a informațiilor;

8. prezența unui sistem de control al producției, inclusiv regulile și procedurile de verificare și evaluare a sistemului de dezvoltare a SZKI, ținând cont de modificările aduse documentației de proiectare și proiectare pentru produsele în curs de dezvoltare

9. prezența unui sistem de control al producției, inclusiv regulile și procedurile pentru verificarea și evaluarea sistemului de producție SZKI, evaluarea calității produselor fabricate și a constanței parametrilor stabiliți, contabilizarea modificărilor aduse documentației tehnice și de proiectare a produselor fabricate, contabilizarea produselor finite Snytikov A.A. Licențiere și certificare în domeniul securității informațiilor.-M: Gelios ARV, 2012 // pp. 223-224

2. Certificare de securitate a informațiilor

2.1 Structura organizatorică a sistemului de certificare

Structura organizatorică a sistemului de certificare este formată din:

1.Comisia tehnică de stat a Rusiei (organism federal de certificare a mijloacelor de securitate a informațiilor);

2.organul central al sistemului de certificare a securității informațiilor;

3. organisme de certificare a mijloacelor de securitate a informațiilor;

4.centre de testare (laboratoare);

5. solicitanți (dezvoltatori, producători, furnizori, consumatori de produse de securitate a informațiilor).

2 Comisia tehnică de stat a Rusiei, în competența sa, îndeplinește următoarele funcții:

1. creează un sistem de certificare pentru instrumentele de securitate a informațiilor și stabilește reguli de certificare a unor tipuri specifice de instrumente de securitate a informațiilor din acest sistem;

2.organizează funcționarea sistemului de certificare a instrumentelor de securitate a informațiilor;

3. stabilește lista mijloacelor de securitate a informațiilor supuse certificării obligatorii în acest sistem;

4. stabilește regulile de acreditare și eliberare a licențelor pentru lucrări de certificare;

5.organizează și finanțează elaborarea documentelor normative și metodologice pentru sistemul de certificare a securității informațiilor;

6. determină organul central al sistemului de certificare a securității informațiilor (dacă este cazul) sau îndeplinește funcțiile acestui organism;

7. aprobă documentele de reglementare privind securitatea informațiilor, pentru respectarea cărora se realizează certificarea mijloacelor de securitate a informațiilor din sistem, precum și documentele metodologice privind efectuarea testelor de certificare;

8. acreditează organismele de certificare și centrele de testare (laboratoare), le eliberează licențe de desfășurare anumite tipuri lucrări;

9.conduce Registrul de stat participanții și obiectele certificării;

10. efectuează controlul și supravegherea de stat și stabilește procedura de control prin inspecție privind respectarea normelor de certificare și a mijloacelor de securitate a informațiilor certificate;

11. ia în considerare contestațiile privind problemele de certificare;

12.prezintă pe înregistrare de stat Sistemul de certificare Gosstandart al Rusiei și marca de conformitate;

13. organizează publicarea periodică a informațiilor privind certificarea;

14. interacționează cu organismele autorizate relevante din alte țări și organizații internaționale pe probleme de certificare, ia decizii privind recunoașterea certificatelor internaționale și străine;

15.organizează instruirea și certificarea auditorilor experți;

16. eliberează certificate și licențe de utilizare a mărcii de conformitate;

17.suspend sau anulează valabilitatea certificatelor eliberate.

2.2 Procedura de certificare

Procedura de certificare include următorii pași:

depunerea și examinarea unei cereri de certificare a instrumentelor de securitate a informațiilor; testarea instrumentelor de securitate a informațiilor certificate și certificarea producției acestora;

examinarea rezultatelor testelor, înregistrarea, înregistrarea și eliberarea unui certificat și licență pentru dreptul de utilizare a mărcii de conformitate;

implementarea controlului și supravegherii de stat, controlul inspecției privind respectarea regulilor de certificare obligatorie și mijloace certificate de securitate a informațiilor.

informarea cu privire la rezultatele certificării instrumentelor de securitate a informațiilor;

examinarea recursurilor.

Depunerea și examinarea unei cereri de certificare a instrumentelor de securitate a informațiilor.

Pentru a obține un certificat, solicitantul depune o cerere (Anexa 1) la Comisia Tehnică de Stat a Rusiei pentru testare, indicând schema de certificare, standardele și alte documente de reglementare pentru conformitatea cu cerințele cărora trebuie să fie efectuată certificarea.

Comisia Tehnică de Stat a Rusiei, în termen de o lună de la primirea cererii, trimite solicitantului, organismului de certificare și centrului de testare (laboratorul) desemnat pentru certificare, o decizie de efectuare a certificării (Anexa 2). La cererea solicitantului, organismul de certificare și centrul de testare (laborator) pot fi schimbate.

După primirea deciziei, solicitantul este obligat să prezinte organismului de certificare și centrului de testare (laborator) un dispozitiv de securitate a informațiilor în conformitate cu specificațiile tehnice pentru acest produs, precum și un set de documentație tehnică și operațională, în conformitate cu prevederile documente de reglementare pentru ESKD, ESPD pentru dispozitivul de securitate a informațiilor în curs de certificare.

Testarea instrumentelor de securitate a informațiilor certificate în centre de testare (laboratoare).

Testele mijloacelor de securitate a informațiilor certificate se efectuează pe mostre, a căror proiectare, compoziție și tehnologie de fabricație trebuie să fie aceleași cu cele ale mostrelor furnizate consumatorului, clientului conform programelor și metodelor de testare convenite cu solicitantul și autorizat. organism de certificare. Documentația tehnică și operațională pentru mijloacele de securitate a informațiilor seriale trebuie să aibă o litera nu mai mică de „O1” (conform ESKD).

Numărul de probe, procedura de selecție și identificare a acestora trebuie să respecte cerințele documentelor de reglementare și metodologice pentru acest tip mijloace de securitate a informațiilor.

În cazul în care nu există centre de testare (laboratoare) la momentul certificării, organismul de certificare stabilește posibilitatea, locația și condițiile de testare pentru a asigura obiectivitatea rezultatelor acestora.

Momentul efectuării testelor este stabilit printr-un acord între solicitant și centrul de testare (laboratorul).

La cererea solicitantului, reprezentanților acestuia trebuie să li se ofere posibilitatea de a se familiariza cu condițiile de păstrare și testare a probelor de mijloace de securitate a informațiilor în centrul de testare (laborator). Kiyaev V., Granichin O. // Securitatea sistemelor informaționale // Universitatea Națională Deschisă „INTUIT” * 2016 //pp. 105-106

Rezultatele testelor sunt documentate în protocoale și concluzii, care sunt transmise de către centrul de testare (laborator) organismului de certificare, iar în copie - solicitantului.

Atunci când sunt aduse modificări în proiectarea (compoziția) mijloacelor de securitate a informațiilor sau a tehnologiei de producție a acestora, care pot afecta caracteristicile mijloacelor de securitate a informațiilor, solicitantul (dezvoltator, producător, furnizor) notifică acest lucru organismului de certificare. Acesta din urmă decide asupra necesității de a efectua noi teste ale acestor instrumente de securitate a informațiilor.

Certificarea instrumentelor de securitate a informațiilor importate se realizează după aceleași reguli ca și cele interne.

Concluzie

Și astfel, aceasta este o procedură de evaluare a conformității, prin care o organizație independentă de producător (vânzător) și consumator (cumpărător) certifică scris că produsul îndeplinește cerințele stabilite. Dacă vorbim de certificare în legătură cu instrumentele de securitate a informațiilor, atunci aceasta este o activitate de confirmare a conformității acestora cu cerințele reglementărilor tehnice, standardelor naționale sau altor documente de reglementare privind securitatea informațiilor.

Sistemul de certificare în sine este reprezentat de FSTEC din Rusia, care are jurisdicție asupra organismelor acreditate pentru certificarea mijloacelor de securitate a informațiilor și a laboratoarelor de testare.

Intregul sistem de certificare asigura realizarea, in primul rand, a securitatii nationale in domeniul informatizarii. Nu mai puțin importantă este formarea și implementarea unei politici științifice, tehnice și industriale unificate în domeniul informatizării. Pe lângă promovarea formării unei piețe pentru tehnologiile informaționale sigure și mijloacele de susținere a acestora, reglementarea și controlul dezvoltării, precum și producerea ulterioară a mijloacelor de securitate a informațiilor, asistența consumatorilor în alegerea competentă a mijloacelor de securitate a informațiilor, protecția consumatorilor. din necinstea contractantului (producător, producător), confirmarea indicatorilor de calitate a produselor.

Licențiere - activități legate de acordarea licențelor, reemiterea documentelor care confirmă disponibilitatea licențelor, suspendarea și reînnoirea licențelor, anularea licențelor și monitorizarea de către autoritățile de acordare a licențelor a conformității de către titularii de licență atunci când desfășoară tipuri de activități licențiate cu licențele relevante cerințe și condiții.

Licență - un permis special de desfășurare a unui anumit tip de activitate, sub rezerva respectării obligatorii a cerințelor și condițiilor de licențiere, eliberat de o autoritate de acordare a licențelor unei persoane juridice sau unui antreprenor individual.

Activitățile de licențiere în domeniul securității informațiilor sunt efectuate de FSB și FSTEC din Rusia. Să luăm în considerare tipurile de activități licențiate în domeniul protecției informațiilor confidențiale.

FSB al Rusiei:

1. Dezvoltarea și (sau) producerea de mijloace de protecție a informațiilor confidențiale (în competența FSB)

2. Dezvoltarea, producerea, vânzarea și achiziționarea în scopul vânzării de mijloace tehnice speciale destinate obținerii în secret de informații; antreprenori individualiși persoane juridice implicate în activități comerciale

3. Activități de identificare a dispozitivelor electronice destinate obținerii în secret de informații în spații și mijloace tehnice (cu excepția cazului în care această activitate se desfășoară pentru a răspunde nevoilor proprii ale unei persoane juridice sau ale unui antreprenor individual)

4. Activități de distribuire a instrumentelor de criptare (criptografice).

5. Activități de întreținere a instrumentelor de criptare (criptografice).

6. Furnizarea de servicii in domeniul criptarii informatiilor

7. Dezvoltarea și producerea de instrumente de criptare (criptografice), protejate cu ajutorul instrumentelor de criptare (criptografice) pentru sistemele informaționale și sistemele de telecomunicații.

Bibliografie

1 . Kiyaev V., Granichin O. // securitatea sistemelor informatice// Universitatea Națională Deschisă „INTUIT” * 2016 //pag. 105-106

2. Snytikov A.A. Licențiere și certificare în domeniul securității informațiilor.-M: Gelios ARV, 2012 // pp. 223-224

3. Sistem de certificare a mijloacelor de protecție a informațiilor criptografice: Nr.ROSS RU.0001.030001 din 15 noiembrie 2012.

4. Bumazhkov A. Kirina A. Licențiere și certificare în domeniul securității informațiilor

5.Termeni și definiții în domeniul securității informațiilor.Moscova 2011

Postat pe Allbest.ru

...

Documente similare

    Principii de baza acest lucru ar trebui să asigure securitatea informațiilor și cadrul său de reglementare. Organismele de stat ale Federației Ruse care controlează activitățile în domeniul securității informațiilor, documentele de reglementare în acest domeniu. Metode de protejare a informațiilor.

    rezumat, adăugat 24.09.2014

    Mijloace și metode de soluționare diverse sarcini privind protecția informațiilor, prevenirea scurgerilor, asigurarea securității informațiilor protejate. Instrumente tehnice (hardware), software, organizaționale, mixte hardware și software de securitate a informațiilor.

    rezumat, adăugat 22.05.2010

    Suport normativ și legal pentru securitatea informațiilor în Federația Rusă. Regimul juridic al informaţiei. Organismele care asigură securitatea informațiilor din Federația Rusă. Servicii care organizează securitatea informațiilor la nivel de întreprindere. Standarde de securitate a informațiilor.

    prezentare, adaugat 19.01.2014

    Principalele metode de acces neautorizat la informații în sisteme informatice si protectie fata de ea. Acte organizatorice, juridice și de reglementare internaționale și interne pentru a asigura securitatea informațiilor proceselor de prelucrare a informațiilor.

    rezumat, adăugat 04.09.2015

    Informații cum cea mai importantă parte sistem modern de comunicare. Reglementare legalăîn domeniul securității informațiilor. Documente de reglementare care reglementează protecția informațiilor. Forme organizatorice si juridice de protectie a secretelor de stat.

    test, adaugat 11.03.2009

    Recomandări pentru dezvoltarea afacerilor mici. Protecția drepturilor de proprietate, dezvoltarea instituțiilor pieței. Impozitele și administrarea acestora. Sistemul de licențiere și autorizare. Inspecții, amenzi și pedepse. Accesul la informație și deschiderea statului.

    rezumat, adăugat 31.05.2009

    Scopurile licentei in domeniul protectiei mediu inconjuratorși utilizarea resurselor naturale. O listă de tipuri de licențe - documente care oferă dreptul de a utiliza un tip de resursă naturală într-o locație specificată și în anumite condiții.

    test, adaugat 19.12.2012

    Licențiere ca instituție de drept civil. Program de guvernare privatizarea întreprinderilor de stat și municipale din Rusia. Funcții serviciu federal privind supravegherea în domeniul transporturilor. Licențierea activităților comerciale.

    Conceptul de informare resurse informaționale, locul lor în dreptul modern. Semne de informare cu acces limitat. Regimul juridic de protectie constituind secrete de stat, oficiale, profesionale; asigurarea inaccesibilității terților.

    rezumat, adăugat 13.12.2013

    Licențierea ca formă de reglementare guvernamentală. Procedura de autorizare a activităților băncilor și instituțiilor financiare nebancare. Licențierea activităților de proiectare și construcție de clădiri și studii inginerești.

Creșterea rapidă a informatizării și creșterea volumelor informatii digitale forţat să crească nivelul de securitate. Aceasta a dus la dezvoltare activă în diverse moduri protecția datelor, precum și companiile care oferă servicii de confidențialitate. În același timp, astfel de activități sunt permise numai număr limitat companiilor.

Obligația de a obține permisiunea

Protecția personalului și informatii comerciale- o sarcină destul de delicată și importantă. Este inacceptabil să furnizezi astfel de servicii fără permisiune. Următoarele tipuri de măsuri sunt necesare pentru a proteja informațiile:

  • Dezvoltare, producție și distribuție instrumente de criptare
  • Lucrări privind protecția tehnică a informațiilor confidențiale
  • Detectare mijloace electronice folosit pentru achizitia de date secrete
  • Producerea și dezvoltarea SZKI (mijloace pentru protejarea informațiilor confidențiale)
  • întreținere mijloace criptografice protectia informatiei, telecomunicatiilor si sistemelor informatice.

O excepție de la aceasta este dezvoltarea instrumentelor de criptare pentru uz personal sau. De asemenea, nu este necesară o licență pentru întreținerea informațiilor și a altor sisteme utilizate pentru informatii interne firmă specifică.

De ce aveți nevoie de o licență pentru a opera în domeniul protecției tehnice (și de altă natură) a informațiilor confidențiale, vă vom explica mai jos.

Licență pentru activități legate de protecția tehnică a informațiilor confidențiale

Principalele sarcini de licențiere

Merită să înțelegeți că nivelul de confidențialitate al informațiilor poate varia.

  • Pentru unele companii, o scurgere de date poate aduce doar inconveniente morale, în timp ce alte companii își vor pierde capacitatea de a funcționa ca urmare.
  • De asemenea, nu uitați de secretele comerciale ale producției diferitelor bunuri. Dacă sunt publicate, este probabil dezvoltare diferită evenimente.

Sarcina principală a acordării de licențe este de a suprima activitățile incompetente. Solicitanții de licență trebuie să îndeplinească mai multe criterii pentru a asigura servicii de protecție a datelor de calitate și suport tehnic diligent.

Acest videoclip vă va spune despre tehnologiile de securitate a informațiilor:

Documente normative

Eliberarea licențelor este reglementată de o serie de reglementări, legi și reglementări. Unul dintre documentele principale este legea federală Nr. 99 din 4 mai 2011 „Cu privire la licențierea anumitor tipuri de activități”.

  • Următoarele decrete guvernamentale ruse se aplică, de asemenea, activităților de protecție a informațiilor:
  • Nr 45 din 26 ianuarie 2006
  • Nr 532 din 31 august 2006

nr 691 din 23 septembrie 2002. De asemenea, merită să citiți Decretul Guvernului Federației Ruse nr. 1418 din 24 decembrie 1994. Toate aceste documente oferă considerație detaliată

procedura de obținere a permisului și condițiile de acordare a acesteia, împreună cu o listă a documentelor necesare.

Procedura de obținere a unei licențe de la FSTEC din Rusia pentru protecția tehnică a informațiilor confidențiale, scrierea unei declarații pe această temă - toate acestea sunt descrise mai jos.

Obținerea unei licențe pentru a desfășura activități de securitate a informațiilor

Activitățile de protecție a informațiilor necesită respectarea unei liste mari de condiții și pregătire sistematică. După depunerea cererii, solicitantul de licență trebuie să fie supus unei expertize formate din angajați FSB și FSTEC. Componența specifică a comisiei de experți depinde de tipul de activitate ales.

Cererea și locul depunerii documentelor

  1. Cererea de licență care permite activități de protecție a informațiilor se completează în forma prevăzută de lege. Un exemplu de aplicație este furnizat de autoritățile de licențiere de stat. Două organizații sunt implicate în eliberarea de licențe pentru activități de securitate a informațiilor:
  2. Serviciul Federal de Securitate (FSB). Serviciul Federal pentru Tehnici și controale la export

(FSTEK).

Condițiile necesare pentru licențierea activităților pentru protecția tehnică a informațiilor confidențiale (obținerea unei licențe pentru aceasta) sunt descrise mai jos.

Condiții

Principala dificultate în obținerea unei licențe o reprezintă termenii de furnizare. Lista este destul de largă, iar dacă lipsește vreun articol, solicitantul este privat de dreptul de a elibera un permis. În același timp, condițiile pentru tipuri diferite activitățile diferă, deși există o listă generală.

Trebuie îndeplinite următoarele condiții:

  • Să aibă cel puțin 2 angajați care au studii adecvate sau au absolvit cursuri de recalificare
  • Deține spațiile sau închiriază-le cu conformitate tehnică obligatorie cu tipul de activitate declarat
  • Formați o bază materială și tehnică din control, măsurare, testare și alte echipamente tipul necesar echipamente in functie de tipul de activitate
  • Confirmați că software-ul necesar este deținut sau deținut în mod legal
  • Disponibilitate sistem specializat control în conformitate cu tipul de activitate selectat și sub-elementul specific al acestuia
  • posedă legal documentație tehnică, evoluții metodologice, precum și alte date pe hârtie și digitale necesare desfășurării afacerilor.

De asemenea, anumite tipuri de activități pot necesita anumite facilitati de procesare a informațiilor certificate pentru siguranță.

O altă cerință referitoare la toate tipurile de activități, cu excepția producției și dezvoltării SZKI, este prezența la postul a unui manager care are educatie inalta specialitate" Securitatea informațiilor» sau care a absolvit un curs de recalificare care depășește 500 de ore de clasă.

Documente necesare

Alături de condițiile menționate, trebuie să furnizați următorul pachet de documente:

  • Contracte de munca, certificate si diplome ale angajatilor
  • Cerere și documente justificative pentru plata taxei de stat
  • Documente care confirmă existența legală a sistemelor de control
  • Documente de titlu pentru sediu și software
  • Date despre disponibilitatea documentației tehnice și a altor documente necesare pentru lucru
  • Documente care confirmă disponibilitatea materialului necesar și a bazei tehnice
  • Certificate de conformitate a instalațiilor de prelucrare a informațiilor și/sau a spațiilor protejate.

Toate datele sunt furnizate împreună cu documentele constitutive ale solicitantului. Numărul de formulare pe hârtie variază foarte mult în funcție de tipul de activitate ales, de prezența mai multor premise, programe și documentatie tehnica. De aceea, la colectarea unui pachet de documente, este necesar să se clarifice prezența unor noi reglementări privind autorizarea activităților de protecție a informațiilor.

Etapele activităților de licențiere pentru organizarea securității informațiilor sunt descrise mai jos.

Etape

Procedura de acordare a licenței durează un numar mare de timp. Termenele legale de emitere a acestui document limitat la 45 de zile. Unul dintre pași importanți este etapa preliminară a obținerii permisului însăși posibilitatea acordării dreptului la activități de protecție a informațiilor depinde de calitatea implementării acestuia.

Etape pregătitoare ale acordării licenței:

  • Studiul cadrului de reglementare
  • Determinarea conformității cu condițiile enunțate
  • Colectarea unui pachet de documente și întocmirea unei cereri
  • Reanalizarea condițiilor și documentelor furnizate.

Dacă perioada pregătitoare de licență se desfășoară corect, probabilitatea obținerii unei licențe este foarte mare. Adesea motivul refuzului este tocmai erorile în documentele depuse sau nerespectarea condițiilor necesare.

După etapa preliminară, este necesară depunerea documentelor la autoritatea de licențiere solicitată, selectate în funcție de tipul de activitate (FSB sau FSTEC). Următorul punct va fi examinarea documentelor de către o comisie de experți. Dacă se conformează, se organizează o verificare capabilități tehniceși condițiile de desfășurare a activităților. Etape finale este eliberarea unui formular oficial de licență.

Informații utile

  • O atenție deosebită ar trebui acordată faptului că toți licențiații existenți sunt supuși inspecțiilor de rutină de către ofițerii FSB. Mai mult, acest tip de activitate se caracterizează prin inspecții spontane fără avertisment. Ele sunt efectuate legal pentru a realiza calitate maxima servicii de stocare a informațiilor furnizate.
  • Din acest motiv, perioada de valabilitate a licenței este determinată a fi de minim 5 ani, iar procedura de reînnoire a autorizației a fost simplificată. Este necesară reemiterea documentului de confirmare a autorizației. La cererea titularului licenței, acesta este eliberat formă nouă cu o perioadă de valabilitate prelungită. Acest lucru este posibil numai în absența unor încălcări grave - dacă există, licența este retrasă.

Obținerea permisiunii de a desfășura activități de securitate a informațiilor în sine nu este deosebit de dificilă. Mult mai greu de asamblat pachetul necesar documente și să respecte corect toate condițiile cerute. Când solicitați o licență, cel mai important lucru la care trebuie să acordați atenție este etapa pregătitoare iar dacă se face bine, obținerea permisiunii nu va fi dificilă.

Chiar mai mult Informatii utile protecția informațiilor și acordarea de licențe pentru astfel de activități sunt conținute în acest videoclip: