Thực đơn
trang chủExcel

Cấp phép và chứng nhận trong lĩnh vực bảo mật thông tin. Cách nhận giấy phép FSTEC

Giấy phép FSTEC là giấy phép đặc biệt của tiểu bang cho phép bạn thực hiện các hoạt động hợp pháp liên quan trực tiếp đến việc tạo và sử dụng phần mềm hoặc công nghệ tiên tiến. Các giấy phép áp dụng cho việc lưu trữ dữ liệu thông tin hoặc tạo cơ sở dữ liệu để lưu trữ chúng.

Giấy phép FSTEC ở Moscow và các khu vực khác của Nga với các chuyên gia từ Tập đoàn AP-Rial - xin giấy phép một cách dễ dàng. Giấy phép bảo vệ thông tin - đầy đủ các dịch vụ trong giấy phép FSTEC.

Cơ quan cấp phép: Dịch vụ Liên bang về Kỹ thuật và kiểm soát xuất khẩu
Thời hạn hiệu lực của giấy phép: vô thời hạn.
Khu vực phủ sóng: Toàn bộ lãnh thổ Liên Bang Nga
Thời hạn cấp giấy phép: 45 ngày làm việc.

Giá giấy phép FSTEC (hỗ trợ lấy): từ 250.000 chà.

Giấy phép FSTEC của Nga được cấp cho những người nộp đơn từ nhiều khu vực khác nhau trên đất nước, nhưng cơ quan cấp phép độc quyền là Cơ quan Kiểm soát Xuất khẩu và Kỹ thuật Liên bang, có trụ sở tại Moscow. Thời hạn hiệu lực của giấy phép chính thức được xác định là không giới hạn và phạm vi địa lý ảnh hưởng được giới hạn trong biên giới chính thức của bang.

Thời gian người nộp đơn nhận được giấy phép là 45 ngày kể từ ngày nộp hồ sơ cho cơ quan quản lý nhà nước.

Nhận các loại giấy phép FSTEC

Quá trình cấp phép có thể tiến hành theo ba tùy chọn:

  1. Tự giới thiệu. Tên phương pháp này tối ưu là khó khăn. Theo quy định, người nộp đơn không có sự chuẩn bị sẽ bỏ lỡ một số điểm cơ bản liên quan đến việc đăng ký loại yêu cầu tài liệu và đào tạo kịp thời cho nhân viên và người quản lý. Về vấn đề này, quá trình xin giấy phép có thể mất số lượng lớn thời gian và kết quả là làm giảm lợi nhuận tiềm năng của doanh nghiệp.
  2. Chuyển giao một phần quyền đào tạo trước khi cấp giấy phép cho các chuyên gia. Nó tốt hơn rồi phương pháp hiệu quả thông qua thủ tục cấp phép. Chuyên gia giám sát quá trình, chỉ đạo người đứng đầu công ty. Nhưng điều đáng chú ý là ở trong trường hợp này, hỗ trợ pháp lý không thể đầy đủ và do đó, không thể đảm bảo kết quả.
  3. Hỗ trợ đầy đủ của quá trình. Việc có được giấy phép FSTEC với sự tham gia của các chuyên gia đảm bảo mang lại kết quả thành công. Chúng tôi không chỉ có các chuyên gia có trình độ, kinh nghiệm trong việc tiến hành các trường hợp cấp phép mà còn có khuôn khổ kỹ thuật và quy định cần thiết để đảm bảo người nộp đơn tuân thủ đầy đủ các yêu cầu của cơ quan quản lý.

Đầy đủ các dịch vụ cho phép chúng tôi không chỉ giúp các doanh nghiệp có được giấy phép cần thiết cho hoạt động của mình mà còn chuẩn bị sẵn sàng cho các cuộc kiểm tra có thể xảy ra trong quá trình kiểm tra theo lịch trình hoặc đột xuất.

Các loại giấy phép FSTEC

Luật Liên bang số 99 ngày 4 tháng 5 năm 2011 “Về cấp phép một số loại hoạt động” quy định rõ ràng danh sách các ngành nghề cần cấp phép. Trước hết, bạn cần phải có giấy phép FSTEC:

  • tham gia đấu thầu chính phủ;
  • thực hiện các hoạt động liên quan đến phát triển và sản xuất CIPF;
  • thực hiện các hoạt động liên quan đến TZKI;
  • khi xử lý dữ liệu cá nhân.

Việc cấp phép của FSTEC của Nga trong ngành TZKI được quy định bởi Nghị định của Chính phủ Liên bang Nga ngày 3 tháng 2 năm 2012 số 79 “Về cấp phép hoạt động bảo vệ kỹ thuật thông tin bí mật" Thời hạn hiệu lực là không giới hạn nhưng doanh nghiệp trong quá trình hoạt động phải chuẩn bị sẵn sàng để xác nhận các yêu cầu đối với người được cấp phép.

Việc cấp phép trong ngành CIPF () được kiểm soát bởi Nghị định của Chính phủ Liên bang Nga ngày 3 tháng 3 năm 2012 số 171 “Về cấp phép cho các hoạt động phát triển và sản xuất các phương tiện bảo vệ thông tin bí mật.” Tài liệu chính thức xác định các yêu cầu đối với người nộp đơn xin giấy phép này.

Yêu cầu để có giấy phép FSTEC tại Moscow

Để người nộp đơn nhận được sự cho phép chính thức hoạt động trong ngành, anh ta cần có bằng chứng tài liệu về việc tuân thủ các yêu cầu sau:

  • Sự sẵn có của nhân viên có trình độ học vấn cao hơn về An toàn thông tin. Được phép thu hút các chuyên gia có trình độ học vấn kỹ thuật trung học có hồ sơ tương tự, miễn là họ đã vượt qua đào tạo lại chuyên môn, kéo dài ít nhất 360 giờ học (cần xuất trình giấy chứng nhận hoàn thành khóa đào tạo). Điều quan trọng nữa là phải có kinh nghiệm làm việc trong lĩnh vực bảo mật thông tin.
  • Sự sẵn có của cơ sở, thuộc sở hữu hoặc cho thuê hoặc cho thuê lại (cần có hợp đồng thuê hợp lệ), cần thiết để thực hiện Hoạt động chuyên môn. Cơ sở làm việc phải đáp ứng các yêu cầu hiện hành của chính phủ.
  • Sở hữu hoặc thuê (phải xuất trình hợp đồng thuê hợp lệ) thiết bị cần thiết. Mỗi đơn vị kỹ thuật phải kèm theo báo cáo xác minh và các chứng chỉ cần thiết xác nhận tính chính xác của dữ liệu được cung cấp.
  • Có sẵn phần mềm cập nhật cần thiết để tiến hành các hoạt động trong ngành.
  • Sự sẵn có của các tài liệu quy phạm và phương pháp luận được đánh dấu là tiêu chuẩn “DSP” và GOST.
  • Có sẵn cơ sở được chứng nhận và máy trạm tự động được chứng nhận (AWS) theo yêu cầu hiện tại

Giấy phép FSTEC quy định sự tuân thủ đầy đủ của người được cấp phép và đào tạo nhân viên để thực hiện hoạt động này.

Thủ tục cấp phép

Giấy phép của FSTEC của Nga với sự tham gia của chúng tôi có nghĩa là các chuyên gia của chúng tôi thực hiện các nghĩa vụ sau:

  • chuẩn bị các giấy tờ cần thiết và mang đến hình thức thành lập;
  • thực hiện, nếu cần thiết;
  • chuẩn bị và nộp hồ sơ cho cơ quan cấp phép (không phân biệt địa điểm của người nộp đơn);
  • tiến hành chứng nhận cơ sở và trạm làm việc tự động;
  • có được xác nhận tài liệu về việc nộp tài liệu;
  • thực hiện các thủ tục khắc phục những thiếu sót, ý kiến ​​đã được công bố nếu cần thiết;
  • có được sự cho phép chính thức (giấy phép) và chuyển nó cho người được cấp phép.

Một số loại giấy phép FSTEC nhất định yêu cầu giấy phép FSB để làm việc với thông tin là bí mật nhà nước.

Chúng tôi đảm bảo người nộp đơn sẽ nhận được giấy phép và doanh nghiệp tuân thủ đầy đủ các yêu cầu của nhà nước ở tất cả các giai đoạn trong hoạt động kinh doanh tiếp theo của doanh nghiệp.

Tham gia triển lãm, hội nghị trong lĩnh vực an toàn thông tin

Các chuyên gia của Tập đoàn AP-Rial thường xuyên tham dự các triển lãm và hội nghị chuyên đề nên họ luôn bắt kịp mọi xu hướng đổi mới trong lĩnh vực an toàn thông tin. Mọi kinh nghiệm thu được luôn được áp dụng vào thực tế. Kinh nghiệm phong phú của chúng tôi cho phép các luật sư của chúng tôi đưa ra lời khuyên chất lượng cao về những thiết bị mà một tổ chức tham gia bảo vệ dữ liệu hoặc phát triển các công cụ bảo mật thông tin nên có.

Một ngày nọ, nhân viên của chúng tôi đã đến thăm một cuộc triển lãm về bảo vệ thông tin từ "INTERPOLITEX - 2018". Đơn vị tổ chức triển lãm là lực lượng của Bộ Nội vụ (MVD), Cơ quan An ninh Liên bang (FSB) và Lực lượng Vệ binh Nga. Báo cáo hình ảnh có thể được xem trên trang.


Cấp phép trong lĩnh vực bảo mật thông tin là hoạt động liên quan đến việc chuyển giao hoặc giành được quyền thực hiện công việc trong lĩnh vực bảo mật thông tin. Chính sách của Nhà nước trong lĩnh vực cấp phép cho một số loại hoạt động nhất định và đảm bảo bảo vệ lợi ích sống còn của cá nhân, xã hội và nhà nước được xác định theo Nghị định của Chính phủ Liên bang Nga ngày 24 tháng 12 năm 1994 số 1418 “Về việc cấp phép cho một số loại hoạt động nhất định”. loại hoạt động” (được sửa đổi bởi Nghị định của Chính phủ Liên bang Nga số 05.05.95 số 450, ngày 03/06/95 số 549, ngày 07/08/95 số 796, ngày 12/10/95 số 1001, ngày 22/04/97 số 462, ngày 01/12/97 số 1513, xem thêm nghị quyết ngày 11/02/02 số 135).

Giấy phép là giấy phép thực hiện công việc trong lĩnh vực bảo mật thông tin. Giấy phép được cấp cho các loại hoạt động cụ thể trong ba năm, sau đó được đăng ký lại theo cách thức cấp giấy phép.

Giấy phép được cấp nếu doanh nghiệp đã xin giấy phép có các điều kiện để được cấp phép: cơ sở sản xuất và thử nghiệm, tài liệu quy định và phương pháp luận, đồng thời có nhân viên khoa học, kỹ thuật và kỹ thuật.

Cơ cấu tổ chức của hệ thống cấp phép nhà nước cho hoạt động của doanh nghiệp trong lĩnh vực an toàn thông tin được hình thành bởi:

· cơ quan cấp phép của nhà nước;

· trung tâm cấp phép;

· doanh nghiệp nộp đơn.

Hệ thống chính trịđể cấp phép:

· tổ chức bắt buộc cấp phép hoạt động của doanh nghiệp;

· cấp giấy phép nhà nước cho các doanh nghiệp nộp đơn;

· điều phối thành phần ủy ban chuyên gia do các trung tâm cấp phép đại diện;

· thực hiện kiểm soát và giám sát tính đầy đủ và chất lượng công việc do những người được cấp phép thực hiện trong lĩnh vực bảo mật thông tin.

Trung tâm cấp phép:

· thành lập các ủy ban chuyên gia và trình thành phần của họ lên người đứng đầu các cơ quan cấp phép nhà nước có liên quan là FSTEC và FSB để phê duyệt;

· lập kế hoạch và thực hiện công việc kiểm tra các doanh nghiệp nộp đơn;

· kiểm soát tính đầy đủ và chất lượng công việc do người được cấp phép thực hiện.

Các trung tâm cấp phép thuộc cơ quan cấp phép nhà nước được thành lập theo lệnh của người đứng đầu các cơ quan này. Ủy ban chuyên gia được thành lập trong số các chuyên gia từ các ngành và cơ quan có thẩm quyền trong lĩnh vực bảo vệ thông tin có liên quan chính phủ kiểm soát, các tổ chức, cơ quan khác. Hoa hồng chuyên gia được tạo ra trong một hoặc nhiều lĩnh vực bảo vệ thông tin.

Sau đây là đối tượng được cấp phép bởi FSTEC của Nga:

· Chứng nhận, kiểm tra cấp giấy chứng nhận được bảo vệ phương tiện kỹ thuật xử lý thông tin (ITI), các công cụ kỹ thuật và bảo mật phần mềm, phương tiện giám sát hiệu quả của các biện pháp bảo mật thông tin, công cụ xử lý phần mềm, bảo vệ và kiểm soát an ninh;

· chứng nhận hệ thống thông tin, hệ thống điều khiển tự động, hệ thống liên lạc và truyền dữ liệu, cơ sở VT và cơ sở chuyên dụng tuân thủ các yêu cầu của hướng dẫn và văn bản quy định về bảo mật thông tin;

· phát triển, sản xuất, bán, lắp đặt, vận hành, lắp đặt, sửa chữa, bảo trì các đối tượng khoa học máy tính được bảo vệ, phương tiện kỹ thuật bảo vệ và kiểm soát hiệu quả của các biện pháp an ninh thông tin, các công cụ phần mềm được bảo vệ để xử lý, bảo vệ và kiểm soát an ninh thông tin;

Tiến hành các nghiên cứu đặc biệt về tác dụng phụ bức xạ điện từ và hướng dẫn (PEMIN) TSOI;

· thiết kế các đối tượng được bảo vệ.

Cơ quan cấp phép có trách nhiệm:

· xây dựng các quy tắc, thủ tục và các tài liệu quy định và phương pháp luận về các vấn đề cấp phép;

· Thực hiện quản lý khoa học và phương pháp đối với hoạt động cấp phép;

· sự xuất bản thông tin cần thiết về hệ thống cấp phép;

· xem xét đơn đăng ký của các tổ chức và đơn vị quân đội về việc cấp giấy phép;

· phối hợp ứng dụng với các đơn vị quân đội chịu trách nhiệm về các lĩnh vực bảo vệ thông tin liên quan;

· điều phối thành phần của ủy ban chuyên gia;

· tổ chức và tiến hành các kỳ thi đặc biệt;

· Quyết định cấp giấy phép;

· cấp giấy phép;

· Ra quyết định đình chỉ, gia hạn hoặc hủy bỏ giấy phép;

· Duy trì sổ đăng ký các giấy phép đã cấp, bị đình chỉ, gia hạn và hủy bỏ;

· Mua lại, kế toán và lưu trữ các mẫu giấy phép;

· tổ chức công việc của các trung tâm chứng nhận;

· giám sát tính đầy đủ và chất lượng công việc được thực hiện bởi những người được cấp phép.

Theo Điều 17 Luật liên bang ngày 08/08/2001 Số 128-FZ “Về cấp phép một số loại hoạt động” (được sửa đổi bởi Luật Liên bang ngày 07/02/2005 Số 80-FZ), các loại hoạt động sau đây phải được cấp giấy phép (trong lĩnh vực thông tin) bảo vệ):

· hoạt động phân phối các công cụ mã hóa (mật mã);

· hoạt động trên BẢO TRÌ phương tiện mã hóa (mật mã);

· Cung cấp dịch vụ trong lĩnh vực mã hóa thông tin;

· phát triển, sản xuất phương tiện mã hóa (mật mã) được bảo vệ bằng phương tiện mã hóa (mật mã) hệ thông thông tin, hệ thống viễn thông;

· các hoạt động phát triển và (hoặc) sản xuất các phương tiện bảo vệ thông tin bí mật; hoạt động bảo vệ kỹ thuật thông tin mật;

· Hoạt động xác định các thiết bị điện tử, nhằm mục đích bí mật thu thập thông tin tại cơ sở và phương tiện kỹ thuật (trừ trường hợp hoạt động được chỉ định được thực hiện để đáp ứng nhu cầu riêng của pháp nhân hoặc cá nhân doanh nhân).

Trong khuôn khổ các loại hoạt động đang được xem xét, các nghị định riêng của Chính phủ Liên bang Nga đã được ban hành, giải thích thủ tục cấp phép. Trong số đó:

· Nghị định của Chính phủ Liên bang Nga ngày 26 tháng 1 năm 2006 số 45 “Về việc tổ chức cấp giấy phép cho một số loại hoạt động”; Nghị định của Chính phủ Liên bang Nga ngày 15 tháng 8 năm 2006 số 504 “Về cấp phép hoạt động bảo vệ kỹ thuật thông tin bí mật”;

· Nghị định của Chính phủ Liên bang Nga ngày 31 tháng 8 năm 2006 số 532 “Về cấp phép hoạt động phát triển và (hoặc) sản xuất các phương tiện bảo vệ thông tin bí mật”;

· Nghị định của Chính phủ Liên bang Nga ngày 23 tháng 9 năm 2002 số 691 “Về việc phê duyệt các quy định về cấp phép cho một số loại hoạt động liên quan đến phương tiện mã hóa (mật mã).”

Theo các tài liệu này, người được cấp phép hàng năm phải nộp cho cơ quan cấp phép hoặc trung tâm chứng nhận thông tin về số lượng công việc đã thực hiện đối với các loại hoạt động cụ thể được quy định trong giấy phép. Người được cấp phép chịu trách nhiệm về tính đầy đủ, chất lượng của công việc được thực hiện, bảo đảm an toàn bí mật nhà nước được giao phó trong quá trình hoạt động thực tế.

Gửi công việc tốt của bạn trong cơ sở kiến ​​thức thật đơn giản. Sử dụng mẫu dưới đây

Làm tốt lắm vào trang web">

Các sinh viên, nghiên cứu sinh, các nhà khoa học trẻ sử dụng nền tảng kiến ​​thức trong học tập và công việc sẽ rất biết ơn các bạn.

Đăng trên http://www.allbest.ru/

Bộ Giao thông Vận tải Liên bang Nga

Cơ quan Vận tải Đường sắt Liên bang Ngân sách nhà nước liên bang cơ sở giáo dục giáo dục chuyên nghiệp cao hơn

"Viễn Đông Đại học bang cách giao tiếp"

Vụ Luật Dân sự, Kinh doanh và Giao thông vận tải

Kỷ luật: Hỗ trợ pháp lý bảo mật thông tin

Chủ đề: Cấp phép và chứng nhận trong lĩnh vực an toàn thông tin

Được hoàn thành bởi sinh viên

Nepomnyashchaya Natalya Evgenievna

Người kiểm tra: giáo viên bộ môn:

Zheleznykov Anatoly Mikhailovich.

Khabarovsk

Giới thiệu

1. Cấp phép trong lĩnh vực an toàn thông tin

1.1 Cơ quan cấp phép - FSTEC của Nga

1.2 Cơ quan cấp phép - FSB của Nga

2. Chứng nhận lĩnh vực an toàn thông tin

2.1 Cơ cấu tổ chức của hệ thống chứng nhận

2.2 Thủ tục chứng nhận

Phần kết luận

Thư mục

Giới thiệu

Một trong những vấn đề trong lĩnh vực bảo vệ thông tin ở Nga là thiếu các văn bản chính thức có khuyến nghị chi tiết về việc xây dựng các hệ thống thông tin an toàn tương tự như các hệ thống được phát triển bởi Viện Hoa Kỳ công nghệ tiêu chuẩn(Mỹ) và tiêu chuẩn Anh. Mặc dù ở Anh không có quy định nào yêu cầu tuân thủ các tiêu chuẩn của chính phủ nhưng khoảng 60% các công ty và tổ chức của Anh tự nguyện sử dụng tiêu chuẩn đã được phát triển và số còn lại có ý định thực hiện các khuyến nghị của nó trong thời gian tới

Việc cấp phép và chứng nhận trong lĩnh vực hệ thống bảo mật thông tin có thể làm giảm mức độ nghiêm trọng của vấn đề này. Cần phải đảm bảo cho người dùng rằng các công cụ bảo mật thông tin họ sử dụng có khả năng cung cấp mức độ bảo vệ cần thiết. Việc cấp phép có thể đảm bảo rằng chỉ những chuyên gia có trình độ cao trong lĩnh vực này mới giải quyết được vấn đề bảo mật thông tin và các sản phẩm họ tạo ra sẽ ở cấp độ phù hợp và có thể vượt qua chứng nhận.

Nếu không có chứng nhận, không thể đánh giá liệu sản phẩm có chứa các khả năng không có giấy tờ có hại hay không, sự hiện diện của chúng đặc biệt điển hình đối với hầu hết các sản phẩm nước ngoài, đôi khi có thể dẫn đến trục trặc trong hệ thống và thậm chí là hậu quả không thể khắc phục được đối với nó. Một ví dụ điển hình như vậy tính năng không có giấy tờđược Ericsson đặt ra trong quá trình phát triển trao đổi điện thoại, trên cơ sở đó Bộ Đường sắt Liên bang Nga xây dựng mạng điện thoại, khả năng chặn công việc của họ khi nhận được một cuộc gọi cụ thể số điện thoại, mà công ty từ chối nêu tên. Và ví dụ này không phải là duy nhất.

Quá trình chứng nhận một sản phẩm phần mềm mất khoảng thời gian tương đương với quá trình phát triển nó và thực tế là không thể nếu không có mã nguồn của chương trình có nhận xét. Đồng thời, nhiều công ty nước ngoài không muốn đại diện văn bản nguồn của họ sản phẩm phần mềmđến các trung tâm chứng nhận của Nga. Ví dụ, mặc dù có thỏa thuận về nguyên tắc Microsoft Chứng nhận ở Nga về hệ điều hành Windows NT, trong đó hơn 50 lỗi liên quan đến bảo mật đã được xác định, vấn đề này đã không thể tiếp tục trong nhiều tháng do thiếu mã nguồn.

Khó khăn trong việc chứng nhận dẫn đến thực tế là trong số các sản phẩm cùng loại, những sản phẩm đơn giản nhất sẽ nhận được chứng chỉ trước, đó là lý do tại sao chúng có vẻ đáng tin cậy hơn đối với người dùng. Thời gian chứng nhận dài dẫn đến việc công ty phát triển quản lý để đưa nó ra thị trường phiên bản mới sản phẩm của bạn và quá trình này trở nên vô tận.

Việc chứng nhận các phương tiện kỹ thuật về bảo mật thông tin khó được thực hiện nếu không có các tiêu chuẩn phù hợp, việc tạo ra chúng ở Nga không ít bị cản trở do thiếu nguồn tài chính. Vấn đề này có thể được giải quyết nếu có một số công ty quan tâm đến việc bán hàng và một số tổ chức quan tâm đến việc sử dụng các phương tiện kỹ thuật thích hợp. Ví dụ, thành quả từ nỗ lực chung của các tổ chức, công ty và FSTEC (trước đây là Ủy ban Kỹ thuật Nhà nước (STC)) là việc phát triển Tài liệu Hướng dẫn Kỹ thuật của Ủy ban Hải quan Nhà nước Liên bang Nga "Phương tiện". công nghệ máy tính. Tường lửa. Bảo vệ chống truy cập trái phép vào thông tin. Các chỉ số về bảo mật chống truy cập thông tin trái phép." Nó giúp phân loại các công cụ có khả năng, ở một mức độ nào đó, bảo vệ mạng công ty khỏi sự xâm nhập từ bên ngoài.

Tài liệu giả định sự tồn tại của một số loại tường lửa: từ loại đơn giản nhất, chỉ cho phép kiểm soát luồng thông tin, đến loại phức tạp nhất, thực hiện mã hóa hoàn toàn thông tin đến, bảo vệ hoàn toàn. Mạng lưới công ty từ những tác động bên ngoài. Đã có chứng nhận tuân thủ ngày hôm nay Thông số kỹ thuật, được phát triển theo Tài liệu Hướng dẫn Kỹ thuật, được phép pháp luật hiện hành, đã vượt qua như vậy tường lửa, như Sun Screen, SKIPbridge và Pandora. Tuy nhiên, chứng nhận của họ không phải là không gặp khó khăn.

1. Cấp phép trong lĩnh vực an toàn thông tin

1.1 Cơ quan cấp phép - FSTEC của Nga

Các yêu cầu cấp phép đối với người nộp đơn xin cấp giấy phép để thực hiện các hoạt động phát triển và sản xuất SZKI (sau đây gọi là giấy phép) là:

1. trong đội ngũ nhân viên của người xin cấp phép có ít nhất hai chuyên gia có trình độ chuyên môn cao hơn trong lĩnh vực bảo mật thông tin kỹ thuật hoặc trình độ giáo dục kỹ thuật hoặc trung cấp nghề (kỹ thuật) cao hơn và đã trải qua đào tạo lại hoặc đào tạo nâng cao trong quá trình phát triển và (hoặc) sản xuất bảo mật thông tin; chuyên gia đảm bảo bảo vệ người dùng

2. sự sẵn có của cơ sở để thực hiện loại hoạt động được cấp phép đáp ứng các yêu cầu của tài liệu kỹ thuật và công nghệ, tiêu chuẩn quốc gia và tài liệu phương pháp luận trong OZI và thuộc về người nộp đơn xin cấp phép về quyền sở hữu hoặc trên cơ sở pháp lý khác;

3. sự sẵn có, về quyền sở hữu hoặc trên cơ sở pháp lý khác, các thiết bị kiểm soát và đo lường cần thiết để thực hiện loại hoạt động được cấp phép (đã vượt qua kiểm định đo lường (hiệu chuẩn) và đánh dấu theo luật pháp của Liên bang Nga) , thiết bị sản xuất và thử nghiệm;

4. sự sẵn có của các chương trình nhằm thực hiện loại hoạt động được cấp phép (bao gồm phần mềm phát triển SZKI) cho máy tính điện tử và cơ sở dữ liệu do người nộp đơn cấp giấy phép sở hữu về quyền sở hữu hoặc trên cơ sở pháp lý khác;

5. sự sẵn có của các giấy phép do người nộp đơn sở hữu về quyền sở hữu hoặc trên cơ sở pháp lý khác, tài liệu kỹ thuật và công nghệ, tài liệu chứa các tiêu chuẩn quốc gia và tài liệu phương pháp luận cần thiết để thực hiện loại hoạt động được cấp phép theo danh sách đã được phê duyệt FSTEC của Nga;

6. sự hiện diện của hệ thống kiểm soát sản xuất, bao gồm các quy tắc và thủ tục kiểm tra và đánh giá hệ thống phát triển SZKI, có tính đến những thay đổi được thực hiện đối với thiết kế và tài liệu thiết kế cho các sản phẩm đang được phát triển

7. sự hiện diện của hệ thống kiểm soát sản xuất, bao gồm các quy tắc và quy trình kiểm tra và đánh giá hệ thống sản xuất SZKI, đánh giá chất lượng sản phẩm và tính nhất quán thiết lập các thông số, hạch toán những thay đổi đối với tài liệu kỹ thuật và thiết kế cho sản phẩm được sản xuất, hạch toán thành phẩm V. Kiyaev, O. Granichin // Bảo mật hệ thống thông tin // Đại học Mở Quốc gia "INTUIT" * 2016 // trang 105-106

1.2 Cơ quan cấp phép - FSB của Nga

Các yêu cầu cấp phép đối với người nộp đơn xin giấy phép là:

1Người trong biên chế của người xin cấp giấy phép làm công việc chính theo quy định bàn nhân sự nhân sự có trình độ sau đây:

2. người quản lý và (hoặc) người được ủy quyền giám sát công việc trong loại hoạt động được cấp phép, có trình độ học vấn chuyên môn cao hơn trong lĩnh vực bảo mật thông tin theo "Phân loại chuyên ngành toàn Nga" và (hoặc) đã trải qua đào tạo lại một trong những chuyên ngành trong lĩnh vực này (thời gian quy định - hơn 500 giờ học), cũng như có ít nhất 5 năm kinh nghiệm trong lĩnh vực công việc được thực hiện trong một loại hoạt động được cấp phép;

3. công nhân kỹ thuật và kỹ thuật (ít nhất hai người) có trình độ học vấn chuyên môn cao hơn trong lĩnh vực bảo mật thông tin theo “Phân loại chuyên ngành toàn Nga” và (hoặc) đã được đào tạo lại về chuyên ngành này (giai đoạn quy định - trên 100 giờ học);

4. Có mặt bằng để thực hiện loại hoạt động được cấp phép đáp ứng các yêu cầu về tài liệu kỹ thuật và công nghệ, tiêu chuẩn quốc gia và tài liệu phương pháp luận trong lĩnh vực sở hữu công nghiệp và thuộc sở hữu của người nộp đơn xin cấp phép về quyền sở hữu hoặc trên cơ sở pháp lý khác ;

5. Người nộp đơn xin cấp phép có quyền sở hữu hoặc trên cơ sở pháp lý khác, thiết bị đo lường và kiểm soát (đã trải qua quá trình kiểm tra (hiệu chuẩn) và đánh dấu đo lường theo quy định của pháp luật Liên bang Nga), thiết bị sản xuất, thử nghiệm và các thiết bị khác cơ sở vật chất cần thiết để thực hiện loại hoạt động được cấp phép;

6. sự sẵn có của các chương trình nhằm thực hiện loại hoạt động được cấp phép (bao gồm phần mềm phát triển SZKI) cho máy tính điện tử và cơ sở dữ liệu do người nộp đơn cấp giấy phép sở hữu về quyền sở hữu hoặc trên cơ sở pháp lý khác;

7. sự sẵn có của các công cụ xử lý thông tin được chứng nhận theo yêu cầu bảo mật thông tin, được sử dụng để phát triển và sản xuất hệ thống bảo vệ thông tin, phù hợp với các yêu cầu bảo vệ thông tin;

8. sự hiện diện của hệ thống kiểm soát sản xuất, bao gồm các quy tắc và thủ tục kiểm tra và đánh giá hệ thống phát triển SZKI, có tính đến những thay đổi được thực hiện đối với tài liệu thiết kế và kỹ thuật cho các sản phẩm đang được phát triển

9. sự hiện diện của hệ thống kiểm soát sản xuất, bao gồm các quy tắc và quy trình kiểm tra và đánh giá hệ thống sản xuất SZKI, đánh giá chất lượng của sản phẩm được sản xuất và tính ổn định của các thông số đã thiết lập, tính đến những thay đổi được thực hiện đối với tài liệu kỹ thuật và thiết kế cho sản phẩm được sản xuất, kế toán thành phẩm Snytikov A.A. Cấp phép và chứng nhận trong lĩnh vực bảo mật thông tin.-M: Gelios ARV, 2012 // trang 223-224

2. Chứng nhận bảo mật thông tin

2.1 Cơ cấu tổ chức của hệ thống chứng nhận

Cơ cấu tổ chức của hệ thống chứng nhận được hình thành bởi:

1. Ủy ban Kỹ thuật Nhà nước Nga (cơ quan liên bang chứng nhận các phương tiện an ninh thông tin);

2.cơ quan trung ương của hệ thống chứng nhận an toàn thông tin;

3. Cơ quan chứng nhận phương tiện an toàn thông tin;

4. trung tâm kiểm nghiệm (phòng thí nghiệm);

5. người nộp đơn (nhà phát triển, nhà sản xuất, nhà cung cấp, người tiêu dùng sản phẩm bảo mật thông tin).

2Ủy ban Kỹ thuật Nhà nước Nga, trong phạm vi thẩm quyền của mình, thực hiện các chức năng sau:

1. tạo ra hệ thống chứng nhận cho các công cụ bảo mật thông tin và thiết lập các quy tắc chứng nhận cho các loại công cụ bảo mật thông tin cụ thể trong hệ thống này;

2.tổ chức hoạt động của hệ thống chứng nhận cho các công cụ bảo mật thông tin;

3. xác định danh sách các phương tiện bảo mật thông tin phải được chứng nhận bắt buộc trong hệ thống này;

4. thiết lập các quy định về công nhận và cấp giấy phép để thực hiện công việc chứng nhận;

5.tổ chức và tài trợ cho việc phát triển các tài liệu quy định và phương pháp luận cho hệ thống chứng nhận các công cụ bảo mật thông tin;

6. xác định cơ quan trung tâm của hệ thống chứng nhận an toàn thông tin (nếu cần) hoặc thực hiện các chức năng của cơ quan này;

7. phê duyệt các văn bản quy định về bảo mật thông tin để tuân thủ việc thực hiện chứng nhận các phương tiện bảo mật thông tin trong hệ thống và các tài liệu phương pháp luận về việc tiến hành kiểm tra chứng nhận;

8. công nhận các tổ chức chứng nhận và trung tâm thử nghiệm (phòng thí nghiệm), cấp giấy phép cho họ thực hiện một số loại làm;

9. dẫn Đăng ký tiểu bangđối tượng và đối tượng chứng nhận;

10. thực hiện kiểm soát, giám sát nhà nước và thiết lập quy trình kiểm tra kiểm tra việc tuân thủ các quy tắc chứng nhận và phương tiện bảo mật thông tin được chứng nhận;

11. xem xét các khiếu nại liên quan đến vấn đề chứng nhận;

12. quà vào đăng ký nhà nước Hệ thống chứng nhận Gosstandart của Nga và dấu phù hợp;

13. tổ chức công bố thông tin định kỳ về chứng nhận;

14. Làm việc với các cơ quan có thẩm quyền liên quan của các nước và tổ chức quốc tế về các vấn đề chứng nhận, ra quyết định công nhận các chứng chỉ quốc tế và nước ngoài;

15.tổ chức đào tạo và cấp chứng chỉ kiểm toán viên chuyên nghiệp;

16. cấp giấy chứng nhận và giấy phép sử dụng dấu hợp quy;

17. Đình chỉ hoặc hủy bỏ hiệu lực của các giấy chứng nhận đã cấp.

2.2 Thủ tục chứng nhận

Thủ tục chứng nhận bao gồm các bước sau:

nộp và xét duyệt hồ sơ cấp chứng nhận công cụ an toàn thông tin; thử nghiệm các công cụ bảo mật thông tin được chứng nhận và chứng nhận quá trình sản xuất chúng;

kiểm tra kết quả thử nghiệm, đăng ký, đăng ký và cấp giấy chứng nhận, giấy phép sử dụng dấu hợp quy;

thực hiện kiểm soát, giám sát nhà nước, kiểm tra kiểm tra việc tuân thủ các quy định về chứng nhận bắt buộc và các phương tiện bảo mật thông tin được chứng nhận.

thông báo kết quả chứng nhận phương tiện an toàn thông tin;

xem xét kháng cáo.

Nộp và xét duyệt hồ sơ cấp chứng nhận công cụ an toàn thông tin.

Để có được chứng chỉ, người nộp đơn nộp đơn (Phụ lục 1) cho Ủy ban Kỹ thuật Nhà nước Nga để thử nghiệm, nêu rõ chương trình chứng nhận, tiêu chuẩn và các tài liệu quy định khác về việc tuân thủ các yêu cầu phải được chứng nhận.

Ủy ban Kỹ thuật Nhà nước Nga, trong vòng một tháng kể từ khi nhận được đơn đăng ký, sẽ gửi cho người nộp đơn, đến tổ chức chứng nhận và trung tâm kiểm nghiệm (phòng thí nghiệm) được chỉ định để chứng nhận quyết định tiến hành chứng nhận (Phụ lục 2). Theo yêu cầu của người nộp đơn, tổ chức chứng nhận và trung tâm kiểm nghiệm (phòng thí nghiệm) có thể được thay đổi.

Sau khi nhận được quyết định, người nộp đơn có nghĩa vụ nộp cho tổ chức chứng nhận và trung tâm kiểm nghiệm (phòng thí nghiệm) một thiết bị bảo mật thông tin phù hợp với thông số kỹ thuật của sản phẩm này cũng như một bộ tài liệu kỹ thuật và vận hành theo quy định của văn bản quy định về ESKD, ESPD cho thiết bị an toàn thông tin được chứng nhận.

Thử nghiệm các công cụ bảo mật thông tin được chứng nhận tại các trung tâm thử nghiệm (phòng thí nghiệm).

Việc thử nghiệm phương tiện bảo mật thông tin đã được chứng nhận được thực hiện trên các mẫu có thiết kế, thành phần và công nghệ sản xuất phải giống với mẫu cung cấp cho người tiêu dùng, khách hàng theo chương trình và phương pháp thử nghiệm đã được thỏa thuận với tổ chức, cá nhân được phê duyệt. cơ quan chứng nhận. Tài liệu kỹ thuật và vận hành phương tiện an toàn thông tin nối tiếp phải có chữ cái không thấp hơn “O1” (theo ESKD).

Số lượng mẫu, quy trình lựa chọn và nhận dạng phải tuân thủ các yêu cầu của các tài liệu quy định và phương pháp luận về loại này phương tiện bảo mật thông tin.

Nếu tại thời điểm chứng nhận không có trung tâm thử nghiệm (phòng thí nghiệm), tổ chức chứng nhận sẽ xác định khả năng, địa điểm và điều kiện thử nghiệm để đảm bảo tính khách quan cho kết quả của mình.

Thời gian của các cuộc kiểm tra được xác định theo thỏa thuận giữa người nộp đơn và trung tâm kiểm tra (phòng thí nghiệm).

Theo yêu cầu của người nộp đơn, đại diện của người đó phải được tạo cơ hội để làm quen với các điều kiện bảo quản và thử nghiệm mẫu phương tiện bảo mật thông tin tại trung tâm thử nghiệm (phòng thí nghiệm). Kiyaev V., Granichin O. // Bảo mật hệ thống thông tin // Đại học Mở Quốc gia "INTUIT" * 2016 //trang 105-106

Kết quả kiểm tra được ghi lại trong các giao thức và kết luận, được trung tâm kiểm nghiệm (phòng thí nghiệm) gửi cho tổ chức chứng nhận và dưới dạng bản sao - cho người nộp đơn.

Khi có những thay đổi về thiết kế (thành phần) của phương tiện bảo mật thông tin hoặc công nghệ sản xuất chúng, có thể ảnh hưởng đến đặc tính của phương tiện bảo mật thông tin, người nộp đơn (nhà phát triển, nhà sản xuất, nhà cung cấp) sẽ thông báo cho tổ chức chứng nhận về việc này. Sau này quyết định về sự cần thiết phải tiến hành các thử nghiệm mới đối với các công cụ bảo mật thông tin này.

Việc chứng nhận công cụ bảo mật thông tin nhập khẩu được thực hiện theo nguyên tắc tương tự như công cụ trong nước.

Phần kết luận

Và vì vậy, đây là một quy trình đánh giá sự phù hợp, thông qua đó một tổ chức độc lập với nhà sản xuất (người bán) và người tiêu dùng (người mua) chứng nhận viết rằng sản phẩm đáp ứng các yêu cầu đã được thiết lập. Nếu nói về chứng nhận liên quan đến các công cụ bảo mật thông tin thì đây là hoạt động nhằm xác nhận sự tuân thủ của chúng với các yêu cầu của quy chuẩn kỹ thuật, tiêu chuẩn quốc gia hoặc các văn bản quy định khác về bảo mật thông tin.

Bản thân hệ thống chứng nhận này được đại diện bởi FSTEC của Nga, cơ quan có thẩm quyền đối với các tổ chức được công nhận về chứng nhận các phương tiện bảo mật thông tin và phòng thí nghiệm thử nghiệm.

Toàn bộ hệ thống chứng nhận đảm bảo đạt được mục tiêu trước hết là an ninh quốc gia trong lĩnh vực tin học hóa. Không kém phần quan trọng là việc hình thành và thực hiện chính sách khoa học, kỹ thuật và công nghiệp thống nhất trong lĩnh vực tin học hóa. Đồng thời thúc đẩy việc hình thành thị trường bảo hộ công nghệ thông tin và các phương tiện để đảm bảo chúng, quy định và kiểm soát sự phát triển, cũng như việc sản xuất các công cụ bảo mật thông tin sau đó, hỗ trợ người tiêu dùng trong việc lựa chọn các công cụ bảo mật thông tin có thẩm quyền, bảo vệ người tiêu dùng khỏi sự không trung thực của nhà thầu (nhà sản xuất, nhà sản xuất), xác nhận các chỉ tiêu chất lượng sản phẩm.

Cấp phép - các hoạt động liên quan đến việc cấp giấy phép, cấp lại tài liệu xác nhận sự sẵn có của giấy phép, đình chỉ và gia hạn giấy phép, hủy giấy phép và giám sát của cơ quan cấp phép về việc tuân thủ của người được cấp phép khi thực hiện các loại hoạt động được cấp phép với giấy phép liên quan yêu cầu và điều kiện.

Giấy phép - giấy phép đặc biệt để thực hiện một loại hoạt động cụ thể, bắt buộc phải tuân thủ các yêu cầu và điều kiện cấp phép, do cơ quan cấp phép cấp cho pháp nhân hoặc cá nhân doanh nhân.

Hoạt động cấp phép trong lĩnh vực bảo mật thông tin được thực hiện bởi FSB và FSTEC của Nga. Hãy xem xét các loại hoạt động được cấp phép trong lĩnh vực bảo vệ thông tin bí mật.

FSB của Nga:

1. Phát triển và (hoặc) sản xuất các phương tiện bảo vệ thông tin bí mật (thuộc thẩm quyền của FSB)

2. Phát triển, sản xuất, bán và mua lại nhằm mục đích bán các phương tiện kỹ thuật đặc biệt nhằm mục đích lấy thông tin bí mật của các cá nhân doanh nhân và pháp nhân tham gia vào hoạt động kinh doanh

3. Hoạt động xác định các thiết bị điện tử nhằm mục đích lấy thông tin bí mật tại cơ sở và phương tiện kỹ thuật (trừ trường hợp hoạt động này được thực hiện để đáp ứng nhu cầu riêng của pháp nhân hoặc cá nhân doanh nhân)

4.Hoạt động phân phối các công cụ mã hóa (mật mã)

5. Hoạt động bảo trì công cụ mã hóa (mật mã)

6. Cung cấp dịch vụ trong lĩnh vực mã hóa thông tin

7. Phát triển, sản xuất các công cụ mã hóa (mật mã), được bảo vệ bằng công cụ mã hóa (mật mã) cho các hệ thống thông tin và hệ thống viễn thông.

Thư mục

1 . Kiaev V., Granichin O. // Bảo mật hệ thống thông tin// Đại học Mở Quốc gia "INTUIT" * 2016 //trang 105-106

2. Snytikov A.A. Cấp phép và chứng nhận trong lĩnh vực bảo mật thông tin.-M: Gelios ARV, 2012 // trang 223-224

3. Hệ thống chứng nhận bảo vệ thông tin mật mã có nghĩa là: Số ROSS RU.0001.030001 ngày 15 tháng 11 năm 2012.

4. Bumazhkov A. Kirina A. Cấp phép và chứng nhận trong lĩnh vực bảo mật thông tin

5.Thuật ngữ và định nghĩa trong lĩnh vực bảo mật thông tin.Moscow 2011

Đăng trên Allbest.ru

...

Tài liệu tương tự

    Nguyên tắc cơ bản rằng an ninh thông tin và khung pháp lý của nó phải đảm bảo. Các cơ quan nhà nước của Liên bang Nga kiểm soát các hoạt động trong lĩnh vực an ninh thông tin, các văn bản quy định trong lĩnh vực này. Các phương pháp bảo vệ thông tin.

    tóm tắt, được thêm vào ngày 24/09/2014

    Phương tiện và phương pháp giải quyết Các nhiệm vụ khác nhau về bảo vệ thông tin, chống rò rỉ, đảm bảo an toàn cho thông tin được bảo vệ. Các công cụ bảo mật thông tin kỹ thuật (phần cứng), phần mềm, tổ chức, phần cứng và phần mềm hỗn hợp.

    tóm tắt, được thêm vào ngày 22/05/2010

    Hỗ trợ pháp lý và pháp lý về bảo mật thông tin ở Liên bang Nga. Chế độ pháp lý của thông tin. Các cơ quan đảm bảo an ninh thông tin của Liên bang Nga. Dịch vụ tổ chức bảo mật thông tin ở cấp doanh nghiệp. Tiêu chuẩn bảo mật thông tin.

    trình bày, được thêm vào ngày 19/01/2014

    Các phương pháp truy cập trái phép thông tin chính trong hệ thống máy tính và bảo vệ khỏi nó. Các hành vi tổ chức, pháp lý và quản lý trong nước và quốc tế nhằm đảm bảo an ninh thông tin của quá trình xử lý thông tin.

    tóm tắt, được thêm vào ngày 09/04/2015

    Thông tin như thế nào phần quan trọng nhất hệ thống thông tin liên lạc hiện đại. Quy định pháp luật trong lĩnh vực an toàn thông tin. Văn bản quy định về bảo vệ thông tin. Các hình thức tổ chức và pháp lý bảo vệ bí mật nhà nước.

    kiểm tra, thêm vào ngày 03/11/2009

    Khuyến nghị phát triển doanh nghiệp nhỏ. Bảo vệ quyền sở hữu, phát triển thể chế thị trường. Thuế và quản lý của họ. Hệ thống cấp phép và cấp phép. Thanh tra, xử phạt và xử phạt. Tiếp cận thông tin và sự cởi mở của nhà nước.

    tóm tắt, được thêm vào ngày 31/05/2009

    Mục đích cấp phép trong lĩnh vực bảo hộ môi trường và sử dụng tài nguyên thiên nhiên. Danh sách các loại giấy phép - tài liệu cấp quyền sử dụng một loại tài nguyên thiên nhiên ở một địa điểm xác định và trong những điều kiện nhất định.

    kiểm tra, thêm vào 19/12/2012

    Cấp phép như một tổ chức luật dân sự. chương trình chính phủ tư nhân hóa các doanh nghiệp nhà nước và thành phố ở Nga. Chức năng của cơ quan liên bang về giám sát trong lĩnh vực giao thông vận tải. Cấp phép hoạt động kinh doanh.

    Khái niệm thông tin tài nguyên thông tin, vị trí của chúng trong luật hiện đại. Dấu hiệu thông tin với truy cập hạn chế. Chế độ pháp lý bảo vệ bí mật nhà nước, bí mật công vụ, bí mật nghề nghiệp; đảm bảo không thể tiếp cận được với bên thứ ba.

    tóm tắt, được thêm vào ngày 13/12/2013

    Cấp phép như một hình thức quy định của chính phủ. Thủ tục cấp phép hoạt động của ngân hàng, tổ chức tài chính phi ngân hàng. Cấp phép hoạt động thiết kế, xây dựng công trình và khảo sát kỹ thuật.

Quy trình cấp phép được mô tả chi tiết trong Nghị định của Chính phủ Liên bang Nga “Về cấp phép hoạt động bảo vệ kỹ thuật thông tin bí mật”. Văn bản quy định chi tiết những tài liệu nào, dưới hình thức nào và theo trình tự nào, phải nộp cho cơ quan cấp phép (LO).

Trên giấy tờ mọi thứ có vẻ đơn giản.

  1. Pháp nhân nộp hồ sơ đầy đủ theo quy định.
  2. Trong thời hạn ba ngày, cơ quan cấp phép phải xem xét và báo cáo hồ sơ có lỗi gì hoặc thiếu tài liệu gì. Nếu LO có ý kiến, người nộp đơn phải khắc phục thiếu sót trong thời hạn 30 ngày.
  3. Nếu đơn được điền chính xác thì trong vòng năm ngày kể từ ngày chấp nhận đơn, LO sẽ kiểm tra tính đầy đủ của các tài liệu bổ sung cho đơn và thường là khoảng 200-300 trang.
  4. Nếu thiếu các tài liệu bổ sung, LO từ chối chấp nhận đơn cho đến khi các vi phạm được loại bỏ. Pháp nhân có cùng thời hạn 30 ngày để thực hiện việc này.
  5. Sau khi công nhận hồ sơ đầy đủ, trong vòng 45 ngày làm việc, LO phải đưa ra quyết định cấp giấy phép hoặc từ chối cấp giấy phép có lý do.

Tuy nhiên, trong thực tế mọi thứ phức tạp hơn. Chỉ có một cơ quan cấp phép cho cả nước và nó được đặt tại Moscow, một số người tham gia vào việc xem xét các đơn đăng ký và số lượng tổ chức muốn xin giấy phép đang tăng lên hàng năm. Bạn có thể đặt câu hỏi qua điện thoại, vì điều này bạn có hai giờ hai lần một tuần, không quá năm phút cho mỗi lần giao tiếp, bạn sẽ không thể tìm hiểu được nhiều. Tất cả điều này có nghĩa là hầu như không thể thực hiện việc cấp phép trong vài ngày hoặc thậm chí vài tuần, đặc biệt nếu có sự hiểu lầm trong các quy tắc cấp phép hoặc khó thực hiện ít nhất một trong các yêu cầu. Ngoài ra, đối với một số loại dịch vụ, danh sách các hành vi pháp lý phải đính kèm đơn đăng ký có thể dài tới 15 trang.

Hồ sơ xin cấp giấy phép phải kèm theo:

  • tài liệu cho hệ thống tự động, cho cơ sở được bảo vệ, về quyền sở hữu hợp pháp đối với cơ sở, thiết bị, phần mềm hoặc chúng được cho thuê (có xác nhận thực tế chuyển nhượng);
  • tài liệu để kiểm tra an ninh (đối với thông tin bí mật mà quyền truy cập bị hạn chế);
  • bản sao sổ làm việc, hợp đồng làm việc, tài liệu học tập của người lao động của người đề nghị cấp giấy phép;
  • tài liệu về quyền sở hữu thiết bị, công việc xác minh xác nhận hoạt động chính xác của thiết bị này, đối với phần mềm, v.v.;
  • thông tin về các văn bản quy phạm pháp luật cần thiết để thực hiện hoạt động an toàn thông tin;
  • Sự miêu tả Quy trình công nghệ xử lý thông tin mật theo mẫu quy định.

Người được cấp phép lần đầu phải nộp hồ sơ thành lập có công chứng của tổ chức.

Những trở ngại

Trong quá trình cấp phép, các tổ chức phải đối mặt với ba khó khăn chính:

  1. Thiết bị. Để thực hiện công việc và cung cấp dịch vụ chứng nhận cơ sở được bảo vệ và hệ thống tự động, cần phải mua thiết bị (sở hữu hoặc sở hữu trên bất kỳ cơ sở pháp lý nào khác). Giá của bộ sản phẩm này khác nhau, nhưng vào khoảng một triệu rúp. Và nếu bạn bắt đầu cấp phép cho công việc mua thiết bị, thì đến thời điểm bạn gửi đơn đăng ký, có thể nó sẽ phải được xác minh lại (chứng chỉ xác minh có giá trị trong một năm). Bạn có thể cố gắng tiết kiệm tiền và thuê thiết bị, nhưng nó phải được thiết kế đặc biệt. Cần phải định kỳ xác nhận quyền sở hữu thiết bị và ký kết các thỏa thuận bổ sung với hợp đồng cho thuê nêu rõ rằng thiết bị đó thuộc quyền sở hữu của bên thuê. Nhược điểm của phương án cho thuê là làm giảm cơ hội lấy được giấy phép - khả năng cao là đăng ký quan hệ không chính xác và bị từ chối.
  2. Cho thuê mặt bằng. Nếu người xin giấy phép thuê mặt bằng từ người thuê lại thì cần phải nộp toàn bộ chuỗi tài liệu cho chủ sở hữu mặt bằng. Cũng cần đảm bảo số lượng mặt bằng thực tế trùng với số địa chính để xác định mặt bằng rõ ràng chỉ dựa trên giấy tờ.
  3. Tài liệu nhân sự. Nhân viên phải có bằng cấp giáo dục chuyên nghiệp cao hơn trong lĩnh vực bảo mật thông tin kỹ thuật và có hơn ba năm kinh nghiệm hoặc bằng tốt nghiệp giáo dục đại học từ các khóa đào tạo lại / giáo dục kỹ thuật cao hơn và hơn năm năm kinh nghiệm. Phải có ít nhất ba nhân viên và họ phải được người nộp đơn tuyển dụng tại nơi làm việc chính.

Life hack để cấp phép thành công

Để có được giấy phép và sau đó vượt qua thành công, nếu cần, các cuộc kiểm tra theo lịch trình của FSTEC về việc tuân thủ các yêu cầu, chúng tôi khuyên bạn nên tính đến một số điểm:

  1. Tốt hơn là bạn nên mua thiết bị (nếu nó cần thiết cho loại hoạt động bạn đã chọn) hơn là thuê nó.
  2. Thường xuyên theo dõi những thay đổi trong khung pháp lý và luôn cập nhật tài liệu, bao gồm cập nhật định kỳ và mua các tiêu chuẩn GOST bổ sung (thông tin về điều này không phải là bí mật, trang web chính thức của FSTEC của Nga dành cho tất cả mọi người).
  3. Cập nhật kịp thời phần mềm diệt virus và giấy phép kiểm tra phần mềm và thiết bị.
  4. Chứng nhận lại cơ sở và hệ thống tự động một cách kịp thời vì chứng chỉ có hiệu lực tối đa ba năm.

Cấp phép ban đầu và kiểm tra định kỳ: sự khác biệt

Khi người nộp đơn lần đầu tiên nhận được giấy phép, việc liên lạc với cơ quan cấp phép là từ xa: các bên trao đổi tài liệu và liên lạc qua điện thoại. Các cơ quan quản lý không thực hiện bất kỳ chuyến thăm cá nhân nào tới người nộp đơn.

Việc kiểm tra theo lịch trình có thể được thực hiện ba năm sau khi có giấy phép. Trong trường hợp này, đại diện của FSTEC nghiên cứu xem liệu nhân sự, cơ sở, thiết bị và phần mềm đã được khai báo khi xin giấy phép có thực sự tồn tại hay không. Điều này bao gồm việc đánh giá kiến ​​thức và năng lực của nhân viên được khai báo trong các tài liệu để xin giấy phép. Thanh tra viên có thể yêu cầu danh sách các chứng chỉ do tổ chức chứng nhận cấp (nếu loại hoạt động này được bao gồm trong giấy phép), cũng như danh sách khách hàng được cấp các chứng chỉ này. Bằng cách này, các cơ quan quản lý xác minh xem tổ chức chứng nhận có thực sự cung cấp các dịch vụ này hay không và chất lượng của chúng như thế nào.

Việc kiểm tra đột xuất cũng có thể được thực hiện bất cứ lúc nào theo yêu cầu của người dân, pháp nhân, văn phòng công tố hoặc theo quyết định của tòa án.

Công việc cấp phép: chi phí

Từ ngày 1 tháng 1 năm 2015, phí nhà nước cho lần đầu nhận giấy phép FSTEC cho các hoạt động liên quan đến bảo vệ kỹ thuật thông tin bí mật là 7.500 rúp, để gia hạn - 3.500 rúp. Đây là những chi phí không thể tránh khỏi và là phần ít tốn kém nhất của công việc.

Theo yêu cầu của quy định cấp phép, cần phải tiến hành chứng nhận và xây dựng các tài liệu để chứng nhận cơ sở được bảo vệ và hệ thống tự động xử lý thông tin mật. Các dịch vụ này được cung cấp bởi những người được cấp phép của FSTEC, ví dụ như đại diện của dự án.

Phạm vi dịch vụ bao gồm:

  1. Tư vấn sơ bộ. Đây là cuộc làm quen với tổ chức của khách hàng để hiểu lý do tại sao cần phải có giấy phép và giải thích cho khách hàng những gì giấy phép sẽ mang lại cho họ, chi phí để có được giấy phép là bao nhiêu và cần phải đầu tư bao nhiêu (thời gian và tài chính) vào tương lai. Đặc biệt, các chuyên gia sẽ báo cáo ngay lập tức về cơ hội cấp phép thành công của tổ chức, dựa trên mức độ sẵn sàng gửi đơn đăng ký của khách hàng ngay bây giờ.
  2. Trợ giúp về chứng nhận. Nhân viên của dự án Kontur.Security thực hiện chứng nhận phòng họp và hệ thống tự động xử lý thông tin bí mật theo yêu cầu bảo mật.
  3. Tư vấn mua sắm thiết bị, phần mềm.
  4. Tư vấn về việc mua lại các tài liệu quy định (GOST). Hầu hết các GOST đều ở ở dạng điện tử V. Hệ thống pháp luật và tài liệu tham khảo. Nhưng chỉ tải xuống và in chúng thôi là chưa đủ vì quyền sở hữu bản quyền cần phải được xác nhận.
  5. Hỗ trợ điều phối các vấn đề liên quan đến việc thuê mặt bằng và thiết bị.
  6. Tư vấn về thiết kế đúng cho đội ngũ nhân viên làm việc với thông tin bí mật.
  7. Trợ giúp điền đơn. Đơn đăng ký được đăng trên nguồn của FSTEC của Nga, không khó để điền nhưng bạn cần phải đáp ứng khá nhiều điều kiện liên quan đến các tài liệu bổ sung đơn đăng ký - kịp thời, chính xác và đầy đủ theo yêu cầu.
Việc cấp phép cho các hoạt động bảo vệ kỹ thuật thông tin bí mật được thực hiện bởi FSTEC của Nga. Để có được giấy phép, người nộp đơn phải đáp ứng các yêu cầu và điều kiện sau:
  1. sự hiện diện của đội ngũ chuyên gia có trình độ chuyên môn cao hơn trong lĩnh vực an toàn thông tin kỹ thuật hoặc có trình độ học vấn (kỹ thuật) cao hơn hoặc trung cấp và đã được đào tạo lại hoặc đào tạo nâng cao về các vấn đề kỹ thuật an toàn thông tin;
  2. người nộp đơn xin cấp phép có cơ sở để thực hiện các hoạt động được cấp phép tuân thủ các tiêu chuẩn và yêu cầu kỹ thuật về bảo vệ kỹ thuật thông tin được thiết lập theo các đạo luật pháp lý của Liên bang Nga và thuộc về người đó theo quyền sở hữu hoặc trên cơ sở pháp lý khác;
  3. sự hiện diện, trên bất kỳ cơ sở pháp lý nào, của thiết bị sản xuất, thử nghiệm và kiểm soát đã trải qua quá trình xác minh (hiệu chuẩn), đánh dấu và chứng nhận đo lường theo luật pháp của Liên bang Nga;
  4. việc sử dụng các hệ thống tự động xử lý thông tin bí mật cũng như các phương tiện bảo vệ thông tin đã vượt qua quy trình đánh giá sự phù hợp (được chứng nhận và (hoặc) được chứng nhận theo yêu cầu an toàn thông tin) theo quy định của pháp luật Liên bang Nga;
  5. sử dụng các chương trình máy tính điện tử và cơ sở dữ liệu nhằm thực hiện các hoạt động được cấp phép trên cơ sở thỏa thuận với người giữ bản quyền;
  6. sự sẵn có của các hành vi pháp lý quy định, các tài liệu quy phạm, phương pháp luận và phương pháp luận về các vấn đề bảo mật thông tin kỹ thuật theo danh sách đã được thiết lập Dịch vụ liên bang về kiểm soát kỹ thuật và xuất khẩu

Để có được giấy phép, người nộp đơn gửi cho FSTEC các tài liệu đã thảo luận trong phần trước của bài giảng này. Ngoài các tài liệu này, người nộp đơn phải cung cấp những điều sau đây:

  1. bản sao tài liệu xác nhận trình độ chuyên môn của chuyên gia an toàn thông tin (bằng cấp, chứng chỉ, chứng chỉ);
  2. bản sao các văn bản xác nhận quyền sở hữu, quyền quản lý kinh tế hoặc quản lý hoạt độngđối với cơ sở được thiết kế để thực hiện các hoạt động được cấp phép hoặc bản sao hợp đồng thuê cơ sở này hoặc để sử dụng miễn phí cơ sở đó;
  3. bản sao giấy chứng nhận sự phù hợp của cơ sở được bảo vệ yêu cầu an toàn thông tin;
  4. bản sao hộ chiếu kỹ thuật của hệ thống tự động có tài liệu đính kèm, giấy chứng nhận phân loại hệ thống tự động theo yêu cầu an toàn thông tin, sơ đồ bố trí hệ thống, thiết bị kỹ thuật chính và phụ trợ, chứng nhận hợp quy hệ thống tự động hóa yêu cầu an toàn thông tin hoặc Giấy chứng nhận phù hợp hệ thống tự động yêu cầu an toàn thông tin, cũng như danh sách các tài nguyên được bảo vệ trong hệ thống tự động với bằng chứng tài liệu về mức độ bảo mật của từng tài nguyên, mô tả quy trình công nghệ xử lý thông tin trong hệ thống tự động;
  5. bản sao tài liệu xác nhận quyền đối với chương trình máy tính và cơ sở dữ liệu được sử dụng để thực hiện hoạt động được cấp phép;
  6. thông tin về sự sẵn có của thiết bị sản xuất và kiểm soát, công cụ bảo mật thông tin và quỹ kiểm soát an ninh thông tin cần thiết để thực hiện các hoạt động được cấp phép, kèm theo bản sao tài liệu kiểm định thiết bị điều khiển, đo lường;
  7. thông tin về các hành vi pháp lý quy định, các tài liệu quy định và phương pháp luận có sẵn cho người nộp đơn xin cấp phép về các vấn đề bảo mật thông tin kỹ thuật

FSTEC kiểm tra tính đầy đủ của các tài liệu được cung cấp, tính đầy đủ và chính xác của thông tin được chỉ định trong đó. Nếu thiếu bất kỳ thông tin (tài liệu) nào, FSTEC sẽ thông báo cho người nộp đơn về việc này trong vòng 15 ngày. Trong thời hạn không quá 45 ngày sau khi nhận được hồ sơ từ người nộp đơn, FSTEC ra quyết định cấp giấy phép. Quyết định này được chính thức hóa bằng đạo luật FSTEC có liên quan.

Giấy phép được cấp cho 5 năm, và sau khi kết thúc thời hạn này có thể được gia hạn theo yêu cầu của người được cấp phép.

4.3. Giám sát việc tuân thủ các yêu cầu và điều kiện của giấy phép

Chức năng giám sát việc tuân thủ các yêu cầu và điều kiện cấp phép của người được cấp phép được thực hiện bởi cơ quan cấp phép, nghĩa là trong trường hợp bảo vệ kỹ thuật thông tin bí mật - FSTEC. Phương pháp điều khiển là kiểm tra theo kế hoạch và đột xuất, được thực hiện theo cách thức được quy định bởi Luật Liên bang số 294 “Về việc bảo vệ quyền của các pháp nhân và doanh nhân cá nhân trong việc thực hiện kiểm soát nhà nước (giám sát) và kiểm soát thành phố."

Mục đích của việc kiểm tra theo lịch trình là để xác minh sự tuân thủ của người được cấp phép với các yêu cầu và điều kiện cấp phép trong quá trình thực hiện các hoạt động bảo vệ kỹ thuật đối với thông tin bí mật. Đối với một pháp nhân hoặc cá nhân doanh nhân, việc này có thể được thực hiện không quá một lần trong vòng ba năm. Việc kiểm tra theo lịch trình được thực hiện theo kế hoạch kiểm tra hàng năm được công bố trên trang web chính thức của FSTEC của Nga.

Người được cấp phép sẽ được đưa vào cuộc kiểm tra theo lịch trình nếu đã qua ba năm kể từ ngày:

  • đăng ký nhà nước của người được cấp phép;
  • hoàn thành đợt kiểm tra theo lịch trình cuối cùng của người được cấp phép.

Người được cấp phép được thông báo không muộn hơn ba ngày làm việc trước cuộc kiểm tra.

Đối tượng của cuộc kiểm tra đột xuất là việc người được cấp phép tuân thủ các yêu cầu và điều kiện cấp phép, tuân thủ các mệnh lệnh nhằm loại bỏ các vi phạm đã được xác định và việc thực hiện các biện pháp đảm bảo an ninh nhà nước.

Căn cứ tiến hành thanh tra đột xuất là:

  1. hết thời hạn thực hiện lệnh đã ban hành trước đó cho người được cấp phép để loại bỏ hành vi vi phạm đã được xác định đối với các yêu cầu và điều kiện cấp phép;
  2. FSTEC của Nga nhận được các yêu cầu và đơn đăng ký từ công dân, pháp nhân, doanh nhân cá nhân, thông tin từ các cơ quan, cơ quan chính phủ chính quyền địa phương, từ quỹ phương tiện thông tin đại chúng về sự thật sau đây:
    • sự xuất hiện của một mối đe dọa gây tổn hại đến an ninh của nhà nước;
    • gây tổn hại đến an ninh quốc gia.

Việc kiểm tra theo lịch trình và đột xuất được thực hiện dưới hình thức hồ sơ hoặc tại chỗ. Việc xác minh tài liệu sẽ kiểm tra tài liệu của người được cấp phép và được thực hiện tại địa điểm của FSTEC. Trong quá trình kiểm tra tại chỗ, không chỉ các tài liệu của người được cấp phép được kiểm tra mà còn cả việc tuân thủ các yêu cầu và điều kiện cấp phép.

Thời gian của mỗi lần kiểm tra không quá 20 ngày làm việc. Dựa trên kết quả kiểm tra, một báo cáo được lập thành hai bản, kèm theo các giao thức (kết luận) của các nghiên cứu (kiểm tra) và kiểm tra đã thực hiện.

Tóm lại, quy trình xin cấp giấy phép cho bảo vệ kỹ thuật Thông tin mật rất tốn công sức, thời gian và cuối cùng nhưng không kém phần tốn kém, vì để có được giấy phép thì cần phải đáp ứng tất cả các yêu cầu và điều kiện cấp phép. Khóa đào tạo dài nhất dành cho các chuyên gia là trong các khóa đào tạo nâng cao. Mặc dù thực tế là số lượng các tổ chức xử lý thông tin bí mật khá lớn, nhưng các chuyên gia có trình độ cao hơn giáo dục nghề nghiệp trong lĩnh vực thông tin kỹ thuật, không phải ai cũng có đủ khả năng. Các khóa đào tạo nâng cao tư nhân được FSTEC phê duyệt thường được thiết kế trong 72 giờ. Yêu cầu tốn kém nhất về mặt kinh tế là chứng nhận các đối tượng tin học hóa (hệ thống tự động và cơ sở an toàn) nhằm xử lý thông tin bí mật. Hơn nữa, vấn đề nảy sinh là mua thiết bị đo lường và điều khiển, những thiết bị này sau khi được chứng nhận hoàn toàn không cần thiết, trừ khi tổ chức có ý định cung cấp dịch vụ chứng nhận các đối tượng tin học hóa. Lựa chọn thay thế– thuê thiết bị như vậy, nhưng điều này cũng tốn tiền. Do đó, thời gian của quá trình cấp phép có thể mất từ ​​2 đến 6 tháng và kéo theo chi phí vật chất đáng kể. Một lựa chọn để giải quyết vấn đề này là thuê ngoài. Outsourcing (từ tiếng Anh outsourcing) nghĩa đen là “sử dụng nguồn lực bên ngoài". Gia công phần mềm liên quan đến việc chuyển từ công ty khách hàng sang tổ chức bên thứ ba (nhà thầu) một số chức năng nhất định của hoạt động theo luật định, ví dụ, bảo vệ kỹ thuật đối với thông tin bí mật. Trong trường hợp này, nhà thầu sử dụng phần mềm, kỹ thuật và các phương tiện khác của riêng mình bảo vệ, giấy phép, chứng chỉ, v.v., cũng như chịu trách nhiệm về kết quả công việc của mình.