Thực đơn
trang chủYandex

Quy trình xin giấy phép thực hiện hoạt động an toàn thông tin. Giấy phép FSTEC Nga

Cấp phép trong lĩnh vực bảo mật thông tin là hoạt động liên quan đến việc chuyển giao hoặc giành được quyền thực hiện công việc trong lĩnh vực bảo mật thông tin. Chính sách của Nhà nước trong lĩnh vực cấp phép một số loại hoạt động và bảo đảm bảo vệ lợi ích sống còn của cá nhân, xã hội và nhà nước được xác định bằng Nghị quyết của Chính phủ Liên Bang Nga ngày 24 tháng 12 năm 1994 số 1418 “Về cấp phép một số loại hoạt động” (được sửa đổi theo Nghị quyết của Chính phủ Liên bang Nga ngày 05.05.95 số 450, ngày 06.03.95 số 549, ngày 08.07.95 Không .796, ngày 12.10.95 số 1001, ngày 22/04/97 số 462, ngày 01/12/97 số 1513, xem thêm nghị quyết ngày 02/11/02 số 135).

Giấy phép là giấy phép thực hiện công việc trong lĩnh vực bảo mật thông tin. Giấy phép được cấp cho các loại hoạt động cụ thể trong ba năm, sau đó được đăng ký lại theo cách thức cấp giấy phép.

Giấy phép được cấp nếu doanh nghiệp đã xin giấy phép có các điều kiện để được cấp phép: cơ sở sản xuất và thử nghiệm, tài liệu quy định và phương pháp luận, đồng thời có nhân viên khoa học, kỹ thuật và kỹ thuật.

Cơ cấu tổ chức của hệ thống cấp phép nhà nước cho hoạt động của doanh nghiệp trong lĩnh vực an toàn thông tin được hình thành bởi:

· cơ quan cấp phép của nhà nước;

· trung tâm cấp phép;

· doanh nghiệp nộp đơn.

Hệ thống chính trịđể cấp phép:

· tổ chức bắt buộc cấp phép hoạt động của doanh nghiệp;

· cấp giấy phép nhà nước cho các doanh nghiệp nộp đơn;

· điều phối thành phần ủy ban chuyên gia do các trung tâm cấp phép đại diện;

· thực hiện kiểm soát và giám sát tính đầy đủ và chất lượng công việc do những người được cấp phép thực hiện trong lĩnh vực bảo mật thông tin.

Trung tâm cấp phép:

· thành lập các ủy ban chuyên gia và trình thành phần của họ lên người đứng đầu các cơ quan cấp phép nhà nước có liên quan là FSTEC và FSB để phê duyệt;

· lập kế hoạch và thực hiện công việc kiểm tra các doanh nghiệp nộp đơn;

· kiểm soát tính đầy đủ và chất lượng công việc do người được cấp phép thực hiện.

Các trung tâm cấp phép thuộc cơ quan cấp phép nhà nước được thành lập theo lệnh của người đứng đầu các cơ quan này. Ủy ban chuyên gia được thành lập trong số các chuyên gia từ các ngành và cơ quan có thẩm quyền trong lĩnh vực bảo vệ thông tin có liên quan chính phủ kiểm soát, các tổ chức, cơ quan khác. Hoa hồng chuyên gia được tạo ra trong một hoặc nhiều lĩnh vực bảo vệ thông tin.

Sau đây là đối tượng được cấp phép bởi FSTEC của Nga:

· chứng nhận, kiểm tra chứng nhận các phương tiện xử lý thông tin kỹ thuật được bảo vệ (TSI), kỹ thuật và phần mềm bảo vệ, phương tiện giám sát hiệu quả của các biện pháp bảo mật thông tin, công cụ xử lý phần mềm, bảo vệ và kiểm soát an ninh;

· chứng nhận hệ thống thông tin, hệ thống tự động hệ thống quản lý, liên lạc và truyền dữ liệu, cơ sở VT và cơ sở chuyên dụng để tuân thủ các yêu cầu của các hướng dẫn, văn bản quy định về an toàn thông tin;

· phát triển, sản xuất, bán, lắp đặt, vận hành, lắp đặt, sửa chữa, bảo trì các đối tượng khoa học máy tính được bảo vệ, phương tiện kỹ thuật bảo vệ và kiểm soát hiệu quả của các biện pháp an ninh thông tin, các công cụ phần mềm được bảo vệ để xử lý, bảo vệ và kiểm soát an ninh thông tin;

Tiến hành các nghiên cứu đặc biệt về tác dụng phụ bức xạ điện từ và hướng dẫn (PEMIN) TSOI;

· thiết kế các đối tượng được bảo vệ.

Cơ quan cấp phép có trách nhiệm:

· xây dựng các quy tắc, thủ tục và các tài liệu quy định và phương pháp luận về các vấn đề cấp phép;

· Thực hiện quản lý khoa học và phương pháp đối với hoạt động cấp phép;

· sự xuất bản thông tin cần thiết về hệ thống cấp phép;

· xem xét đơn đăng ký của các tổ chức và đơn vị quân đội về việc cấp giấy phép;

· phối hợp ứng dụng với các đơn vị quân đội chịu trách nhiệm về các lĩnh vực bảo vệ thông tin liên quan;

· điều phối thành phần của ủy ban chuyên gia;

· tổ chức và tiến hành các kỳ thi đặc biệt;

· Quyết định cấp giấy phép;

· cấp giấy phép;

· Ra quyết định đình chỉ, gia hạn hoặc hủy bỏ giấy phép;

· Duy trì sổ đăng ký các giấy phép đã cấp, bị đình chỉ, gia hạn và hủy bỏ;

· Mua lại, kế toán và lưu trữ các mẫu giấy phép;

· tổ chức công việc của các trung tâm chứng nhận;

· giám sát tính đầy đủ và chất lượng công việc được thực hiện bởi những người được cấp phép.

Theo Điều 17 của Luật Liên bang ngày 08/08/2001 Số 128-FZ “Về cấp phép một số loại hoạt động” (được sửa đổi bởi Luật Liên bang ngày 07/02/2005 Số 80-FZ), các loại hoạt động sau đây (trong lĩnh vực an toàn thông tin) phải xin giấy phép:

· hoạt động phân phối các công cụ mã hóa (mật mã);

· hoạt động trên BẢO TRÌ phương tiện mã hóa (mật mã);

· Cung cấp dịch vụ trong lĩnh vực mã hóa thông tin;

· phát triển, sản xuất phương tiện mã hóa (mật mã) được bảo vệ bằng phương tiện mã hóa (mật mã) hệ thông thông tin, hệ thống viễn thông;

· hoạt động phát triển và (hoặc) sản xuất thiết bị bảo hộ thông tin bí mật; hoạt động trên bảo vệ kỹ thuật thông tin bí mật;

· Hoạt động xác định các thiết bị điện tử, nhằm mục đích bí mật thu thập thông tin tại cơ sở và phương tiện kỹ thuật (trừ trường hợp hoạt động được chỉ định được thực hiện để đáp ứng nhu cầu của chính họ thực thể pháp lý hoặc cá nhân doanh nhân).

Trong khuôn khổ các loại hoạt động đang được xem xét, các nghị định riêng của Chính phủ Liên bang Nga đã được ban hành, giải thích thủ tục cấp phép. Trong số đó:

· Nghị định của Chính phủ Liên bang Nga ngày 26 tháng 1 năm 2006 số 45 “Về việc tổ chức cấp giấy phép cho một số loại hoạt động”; Nghị định của Chính phủ Liên bang Nga ngày 15 tháng 8 năm 2006 số 504 “Về cấp phép hoạt động bảo vệ kỹ thuật thông tin bí mật”;

· Nghị định của Chính phủ Liên bang Nga ngày 31 tháng 8 năm 2006 số 532 “Về cấp phép hoạt động phát triển và (hoặc) sản xuất các phương tiện bảo vệ thông tin bí mật”;

· Nghị định của Chính phủ Liên bang Nga ngày 23 tháng 9 năm 2002 số 691 “Về việc phê duyệt các quy định về cấp phép cho một số loại hoạt động liên quan đến phương tiện mã hóa (mật mã).”

Theo các tài liệu này, người được cấp phép hàng năm phải nộp cho cơ quan cấp phép hoặc trung tâm chứng nhận thông tin về số lượng công việc đã thực hiện đối với các loại hoạt động cụ thể được quy định trong giấy phép. Người được cấp phép chịu trách nhiệm về tính đầy đủ, chất lượng của công việc được thực hiện, bảo đảm an toàn bí mật nhà nước được giao phó trong quá trình hoạt động thực tế.

Cấp phép trong lĩnh vực bảo mật thông tin là hoạt động liên quan đến việc chuyển giao hoặc giành được quyền thực hiện công việc trong lĩnh vực bảo mật thông tin. Chính sách của Nhà nước trong lĩnh vực cấp phép cho một số loại hoạt động nhất định và đảm bảo bảo vệ lợi ích sống còn của cá nhân, xã hội và nhà nước được xác định theo Nghị định của Chính phủ Liên bang Nga ngày 24 tháng 12 năm 1994 số 1418 “Về việc cấp phép cho một số loại hoạt động nhất định”. loại hoạt động” (được sửa đổi bởi Nghị định của Chính phủ Liên bang Nga số 05.05.95 số 450, ngày 03/06/95 số 549, ngày 07/08/95 số 796, ngày 12/10/95 số 1001, ngày 22/04/97 số 462, ngày 01/12/97 số 1513, xem thêm nghị quyết ngày 11/02/02 số 135).

Giấy phép là giấy phép thực hiện công việc trong lĩnh vực bảo mật thông tin. Giấy phép được cấp cho các loại hoạt động cụ thể trong ba năm, sau đó được đăng ký lại theo cách thức cấp giấy phép.

Giấy phép được cấp nếu doanh nghiệp đã xin giấy phép có các điều kiện để được cấp phép: cơ sở sản xuất và thử nghiệm, tài liệu quy định và phương pháp luận, đồng thời có nhân viên khoa học, kỹ thuật và kỹ thuật.

Cơ cấu tổ chức của hệ thống cấp phép nhà nước cho hoạt động của doanh nghiệp trong lĩnh vực an toàn thông tin được hình thành bởi:

· cơ quan cấp phép của nhà nước;

· trung tâm cấp phép;

· doanh nghiệp nộp đơn.

Cơ quan cấp phép của nhà nước:

· tổ chức bắt buộc cấp phép hoạt động của doanh nghiệp;

· cấp giấy phép nhà nước cho các doanh nghiệp nộp đơn;

· điều phối thành phần ủy ban chuyên gia do các trung tâm cấp phép đại diện;

· thực hiện kiểm soát và giám sát tính đầy đủ và chất lượng công việc do những người được cấp phép thực hiện trong lĩnh vực bảo mật thông tin.

Trung tâm cấp phép:

· thành lập các ủy ban chuyên gia và trình thành phần của họ lên người đứng đầu các cơ quan cấp phép nhà nước có liên quan là FSTEC và FSB để phê duyệt;

· lập kế hoạch và thực hiện công việc kiểm tra các doanh nghiệp nộp đơn;

· kiểm soát tính đầy đủ và chất lượng công việc do người được cấp phép thực hiện.

Các trung tâm cấp phép thuộc cơ quan cấp phép nhà nước được thành lập theo lệnh của người đứng đầu các cơ quan này. Ủy ban chuyên gia được thành lập từ các chuyên gia từ các ngành công nghiệp, cơ quan chính phủ và các tổ chức, cơ quan khác có thẩm quyền trong lĩnh vực bảo mật thông tin liên quan. Hoa hồng chuyên gia được tạo ra trong một hoặc nhiều lĩnh vực bảo vệ thông tin.

Sau đây là đối tượng được cấp phép bởi FSTEC của Nga:

· chứng nhận, kiểm tra chứng nhận các phương tiện xử lý thông tin kỹ thuật an toàn (TSI), công cụ bảo mật phần cứng và phần mềm, phương tiện giám sát hiệu quả của các biện pháp bảo mật thông tin, công cụ xử lý phần mềm, bảo vệ và kiểm soát an ninh;

· chứng nhận hệ thống thông tin, hệ thống điều khiển tự động, hệ thống liên lạc và truyền dữ liệu, cơ sở VT và cơ sở chuyên dụng tuân thủ các yêu cầu của hướng dẫn và văn bản quy định về bảo mật thông tin;

· phát triển, sản xuất, bán, lắp đặt, vận hành, lắp đặt, sửa chữa, bảo trì các đối tượng khoa học máy tính được bảo vệ, phương tiện kỹ thuật bảo vệ và kiểm soát hiệu quả của các biện pháp an ninh thông tin, các công cụ phần mềm được bảo vệ để xử lý, bảo vệ và kiểm soát an ninh thông tin;

· Tiến hành các nghiên cứu đặc biệt về bức xạ và nhiễu điện từ giả (PEMIN) TSOI;

· thiết kế các đối tượng được bảo vệ.

Cơ quan cấp phép có trách nhiệm:

· xây dựng các quy tắc, thủ tục và các tài liệu quy định và phương pháp luận về các vấn đề cấp phép;

· Thực hiện quản lý khoa học và phương pháp đối với hoạt động cấp phép;

· công bố các thông tin cần thiết về hệ thống cấp phép;

· Xem xét đơn xin cấp giấy phép của các tổ chức, đơn vị quân đội;

· phối hợp ứng dụng với các đơn vị quân đội chịu trách nhiệm về các lĩnh vực bảo vệ thông tin liên quan;

· điều phối thành phần của ủy ban chuyên gia;

· tổ chức và tiến hành các kỳ thi đặc biệt;

· Quyết định cấp giấy phép;

· cấp giấy phép;

· Ra quyết định đình chỉ, gia hạn hoặc hủy bỏ giấy phép;

· Duy trì sổ đăng ký các giấy phép đã cấp, bị đình chỉ, gia hạn và hủy bỏ;

· Mua lại, kế toán và lưu trữ các mẫu giấy phép;

· tổ chức công việc của các trung tâm chứng nhận;

· giám sát tính đầy đủ và chất lượng công việc được thực hiện bởi những người được cấp phép.

Theo Điều 17 của Luật Liên bang ngày 08/08/2001 Số 128-FZ “Về cấp phép cho một số loại hoạt động” (được sửa đổi bởi Luật Liên bang ngày 07/02/2005 Số 80-FZ) phải được cấp phép các loại sau hoạt động (trong lĩnh vực an toàn thông tin):

· hoạt động phân phối các công cụ mã hóa (mật mã);

· hoạt động bảo trì các công cụ mã hóa (mật mã);

· Cung cấp dịch vụ trong lĩnh vực mã hóa thông tin;

· Phát triển, sản xuất phương tiện mã hóa (mật mã) được bảo vệ bằng phương tiện mã hóa (mật mã) của hệ thống thông tin, hệ thống viễn thông;

· các hoạt động phát triển và (hoặc) sản xuất các phương tiện bảo vệ thông tin bí mật; hoạt động bảo vệ kỹ thuật thông tin mật;

· hoạt động xác định các thiết bị điện tử nhằm mục đích lấy thông tin bí mật tại cơ sở và phương tiện kỹ thuật(trừ trường hợp hoạt động được chỉ định được thực hiện để đáp ứng nhu cầu riêng của pháp nhân hoặc cá nhân doanh nhân).

Trong khuôn khổ các loại hoạt động đang được xem xét, các nghị định riêng của Chính phủ Liên bang Nga đã được ban hành, giải thích thủ tục cấp phép. Trong số đó:

· Nghị định của Chính phủ Liên bang Nga ngày 26 tháng 1 năm 2006 số 45 “Về việc tổ chức cấp giấy phép cho một số loại hoạt động”; Nghị định của Chính phủ Liên bang Nga ngày 15 tháng 8 năm 2006 số 504 “Về cấp phép hoạt động bảo vệ kỹ thuật thông tin bí mật”;

· Nghị định của Chính phủ Liên bang Nga ngày 31 tháng 8 năm 2006 số 532 “Về cấp phép hoạt động phát triển và (hoặc) sản xuất các phương tiện bảo vệ thông tin bí mật”;

· Nghị định của Chính phủ Liên bang Nga ngày 23 tháng 9 năm 2002 số 691 “Về việc phê duyệt các quy định về cấp phép cho một số loại hoạt động liên quan đến phương tiện mã hóa (mật mã).”

Theo các tài liệu này, người được cấp phép hàng năm phải nộp cho cơ quan cấp phép hoặc trung tâm chứng nhận thông tin về số lượng công việc đã thực hiện đối với các loại hoạt động cụ thể được quy định trong giấy phép. Người được cấp phép chịu trách nhiệm về tính đầy đủ, chất lượng của công việc được thực hiện, bảo đảm an toàn bí mật nhà nước được giao phó trong quá trình hoạt động thực tế.

Để hệ thống quản lý tài liệu điện tử (EDM) hoạt động bình thường, cần xây dựng các quy trình giải quyết các xung đột có thể xảy ra. Một bên trong những xung đột như vậy, ngoài những người tham gia EDF và công ty cung cấp, cũng có thể là một công ty phát triển phần mềm.

Giả định rằng hợp đồng với công ty phát triển có tính đến sự sẵn có của mẫu tham chiếu phần mềm, chỉ có thể được lưu trữ bởi công ty cung cấp hoặc bởi tất cả những người tham gia EDF. Điều này đòi hỏi phải đáp ứng hai điều kiện cơ bản:

phải ghi lại rằng mỗi người tham gia hệ thống EDF (bao gồm cả công ty cung cấp) đã cài đặt phần mềm tương ứng với mẫu tham chiếu;

Việc lưu trữ các mẫu đối chiếu được tổ chức theo cách loại trừ khả năng thay đổi mẫu đối chiếu của phần mềm mà các bên không hề hay biết.

Chế độ này có thể được cung cấp bởi một hệ thống gồm nhiều khóa công khai.

Ngày nay, khi công nghệ thông tin hiện đại được đưa vào sâu rộng vào mọi lĩnh vực đời sống và hoạt động của xã hội, quốc gia và như một phần của nó, an ninh kinh tế của nhà nước bắt đầu phụ thuộc trực tiếp vào việc đảm bảo an ninh thông tin. Đó là lý do tại sao, để tạo sự bảo đảm đảm bảo độ bền cần thiết của các phương tiện bảo vệ thông tin, nhà nước có trách nhiệm cấp phép hoạt động cho các tổ chức tham gia bảo vệ thông tin và chứng nhận các phương tiện kỹ thuật liên quan.

Mức độ bảo vệ hiện tại chống lại các mối đe dọa thông tin bên ngoài trên toàn cầu mạng mở không thể coi là thỏa đáng: Nga vẫn thiếu một chiến lược toàn diện và đã được chứng minh về mặt kỹ thuật trong lĩnh vực này. Để thay đổi tình hình, một loạt các biện pháp trong lĩnh vực pháp luật và tiêu chuẩn hóa các phương tiện đảm bảo an ninh thông tin ở Nga phải được xây dựng và triển khai ngay lập tức. Các nhiệm vụ ưu tiên theo hướng này bao gồm:

· việc thông qua một luật đặc biệt, tương tự như “Đạo luật An ninh Máy tính” ở Hoa Kỳ, quy định các cơ quan chính phủ cụ thể chịu trách nhiệm hỗ trợ về phương pháp luận cho công việc trong lĩnh vực an ninh thông tin;

· phát triển các phương pháp tiếp cận thống nhất để đảm bảo an ninh cho các tổ chức thuộc nhiều loại hình, quy mô và hình thức sở hữu khác nhau;

· đảm bảo xuất hiện trên thị trường đủ số lượng các công cụ được chứng nhận khác nhau để giải quyết các vấn đề bảo mật thông tin.

Một trong những vấn đề trong lĩnh vực bảo vệ thông tin ở Nga là thiếu các văn bản chính thức có khuyến nghị chi tiết về việc xây dựng các hệ thống thông tin an toàn tương tự như các hệ thống được phát triển bởi Viện Hoa Kỳ công nghệ tiêu chuẩn(Mỹ) và tiêu chuẩn Anh. Mặc dù ở Anh không có quy định nào yêu cầu tuân thủ các tiêu chuẩn của chính phủ nhưng khoảng 60% các công ty và tổ chức của Anh tự nguyện sử dụng tiêu chuẩn đã được phát triển và số còn lại có ý định thực hiện các khuyến nghị của nó trong thời gian tới.

Việc cấp phép và chứng nhận trong lĩnh vực hệ thống bảo mật thông tin có thể làm giảm mức độ nghiêm trọng của vấn đề này. Cần phải đảm bảo cho người dùng rằng các công cụ bảo mật thông tin họ sử dụng có khả năng cung cấp mức độ bảo vệ cần thiết. Việc cấp phép có thể đảm bảo rằng chỉ những chuyên gia có trình độ cao trong lĩnh vực này mới giải quyết được vấn đề bảo mật thông tin và các sản phẩm họ tạo ra sẽ ở cấp độ phù hợp và có thể vượt qua chứng nhận.

Nếu không có chứng nhận, không thể đánh giá liệu sản phẩm có chứa các khả năng không có giấy tờ có hại hay không, sự hiện diện của chúng đặc biệt điển hình đối với hầu hết các sản phẩm nước ngoài, đôi khi có thể dẫn đến trục trặc trong hệ thống và thậm chí là hậu quả không thể khắc phục được đối với nó. Một ví dụ điển hình như vậy tính năng không có giấy tờđược Ericsson đặt ra trong quá trình phát triển trao đổi điện thoại, trên cơ sở đó Bộ Đường sắt Liên bang Nga xây dựng mạng điện thoại của mình, khả năng chặn hoạt động của họ khi nhận được cuộc gọi của một số nào đó số điện thoại, mà công ty từ chối nêu tên. Và ví dụ này không phải là duy nhất.

Quá trình chứng nhận một sản phẩm phần mềm mất khoảng thời gian tương đương với quá trình phát triển nó và thực tế là không thể nếu không có mã nguồn của chương trình có nhận xét. Đồng thời, nhiều công ty nước ngoài không muốn đại diện văn bản nguồn sản phẩm phần mềm của họ tới các trung tâm chứng nhận của Nga. Ví dụ, mặc dù có thỏa thuận về nguyên tắc Microsoft Chứng nhận ở Nga về hệ điều hành Windows NT, trong đó hơn 50 lỗi liên quan đến bảo mật đã được xác định, vấn đề này đã không thể tiếp tục trong nhiều tháng do thiếu mã nguồn.

Khó khăn trong việc chứng nhận dẫn đến thực tế là trong số các sản phẩm cùng loại, những sản phẩm đơn giản nhất sẽ nhận được chứng chỉ trước, đó là lý do tại sao chúng có vẻ đáng tin cậy hơn đối với người dùng. Thời gian chứng nhận dài dẫn đến việc công ty phát triển quản lý để đưa nó ra thị trường phiên bản mới sản phẩm của bạn và quá trình này trở nên vô tận.

Việc chứng nhận các phương tiện kỹ thuật về bảo mật thông tin khó được thực hiện nếu không có các tiêu chuẩn phù hợp, việc tạo ra chúng ở Nga không ít bị cản trở do thiếu nguồn tài chính. Vấn đề này có thể được giải quyết nếu có một số công ty quan tâm đến việc bán hàng và một số tổ chức quan tâm đến việc sử dụng các phương tiện kỹ thuật thích hợp. Ví dụ, thành quả từ nỗ lực chung của các tổ chức, công ty và FSTEC (trước đây là Ủy ban Kỹ thuật Nhà nước (STC)) là việc phát triển Tài liệu Hướng dẫn Kỹ thuật của Ủy ban Hải quan Nhà nước Liên bang Nga "Thiết bị máy tính. Tường lửa. Bảo vệ." chống truy cập trái phép vào thông tin. Các chỉ số bảo mật chống truy cập thông tin trái phép." Nó cho phép phân loại các công cụ có khả năng bảo vệ mạng công ty khỏi sự xâm nhập từ bên ngoài ở một mức độ nào đó.

Tài liệu giả định sự tồn tại của một số loại tường lửa: từ loại đơn giản nhất, chỉ cho phép kiểm soát luồng thông tin, đến loại phức tạp nhất, thực hiện mã hóa hoàn toàn thông tin đến, bảo vệ hoàn toàn. Mạng lưới công ty từ những tác động bên ngoài. Đã có chứng nhận tuân thủ ngày hôm nay Thông số kỹ thuật, được phát triển theo Tài liệu Hướng dẫn Kỹ thuật, được phép pháp luật hiện hành, đã vượt qua như vậy tường lửa, như Sun Screen, SKIPbridge và Pandora. Tuy nhiên, chứng nhận của họ không phải là không gặp khó khăn.

Có tính đến các yêu cầu về an ninh thông tin và thông lệ thế giới trong lĩnh vực an ninh thông tin, việc Nga tham gia các hệ thống tiêu chuẩn và chứng nhận quốc tế hiện có có vẻ phù hợp công nghệ thông tin, trong thực tế có nghĩa là:

· đưa các tiêu chuẩn quốc gia và ngành phù hợp với tiêu chuẩn quốc tế;

· sự tham gia của đại diện Nga trong các hệ thống chứng nhận quốc tế (bao gồm cả các bài kiểm tra chứng nhận);

· khả năng công nhận các chứng chỉ quốc tế ở Nga.

Ngoài ra, theo pháp luật hiện hành, bất kỳ tổ chức nào tham gia thu thập và xử lý dữ liệu cá nhân (ví dụ: giao dịch bằng thẻ nhựa) đều phải có giấy phép tham gia vào các hoạt động đó và sử dụng các phương tiện được chứng nhận cho việc này.

FSTEC của Nga (trước đây là Ủy ban Kỹ thuật Nhà nước) đã phát triển các thiết bị cần thiết cơ sở quy phạm trong lĩnh vực bảo vệ thông tin khỏi bị truy cập trái phép. Hãy xem xét cấu trúc của các tài liệu quản lý chính.

1. « Bảo vệ chống truy cập trái phép vào thông tin. Thuật ngữ và định nghĩa"– thiết lập một tiêu chuẩn thuật ngữ thống nhất trong lĩnh vực bảo vệ quỹ công nghệ máy tính và các hệ thống tự động chống truy cập trái phép vào thông tin, bắt buộc phải sử dụng trong tất cả các loại tài liệu.

2. « Khái niệm bảo vệ thiết bị máy tính và hệ thống tự động khỏi sự truy cập trái phép vào thông tin"– mô tả các nguyên tắc cơ bản giải quyết vấn đề bảo vệ thông tin khỏi bị truy cập trái phép và mối quan hệ của nó với vấn đề thường gặp bảo mật thông tin. Khái niệm này phản ánh các vấn đề sau: định nghĩa về truy cập trái phép, các nguyên tắc bảo vệ cơ bản, mô hình kẻ xâm nhập trong hệ thống tự động, các phương pháp truy cập trái phép chính, các hướng chính để đảm bảo bảo vệ, các đặc điểm chính của phương tiện kỹ thuật bảo vệ, phân loại hệ thống tự động, tổ chức công tác bảo vệ. Khái niệm này dành cho khách hàng, nhà phát triển và người dùng công nghệ máy tính và hệ thống tự động, mục đích chính là xử lý, lưu trữ và truyền thông tin được bảo vệ.

3. “Phương tiện bảo mật thông tin. Bảo vệ thông tin trong máy tính tiền và hệ thống tiền mặt tự động. Phân loại máy tính tiền, hệ thống tính tiền tự động và yêu cầu bảo vệ thông tin"– thiết lập việc phân loại máy tính tiền, hệ thống tiền mặt tự động, công nghệ thông tin và các yêu cầu về bảo vệ thông tin liên quan đến thuế. Theo tài liệu này, 2 loại máy tính tiền, hệ thống rút tiền tự động và công nghệ thông tin. Loại đầu tiên bao gồm các hệ thống xử lý thông tin về dòng tiền với số tiền lên tới 350 mức lương tối thiểu mỗi ngày và loại thứ hai - với số tiền trên 350 mức lương tối thiểu.

4. “Cơ sở máy tính. Bảo vệ chống truy cập trái phép vào thông tin. Các chỉ số bảo mật chống truy cập thông tin trái phép"– quy định các yêu cầu về bảo mật thiết bị máy tính khỏi bị truy cập trái phép, áp dụng cho phần mềm trên toàn hệ thống và các hệ điều hành. Có bảy lớp bảo mật, được chia thành bốn nhóm. Mỗi lớp chứa một danh sách các cơ chế cần thiết để thực hiện bảo vệ thông tin khỏi bị truy cập trái phép.

5. “Hệ thống tự động. Bảo vệ chống truy cập trái phép vào thông tin. Phân loại hệ thống tự động và yêu cầu bảo vệ thông tin"– phân loại các hệ thống tự động tùy thuộc vào sự hiện diện của thông tin trong đó với các mức độ bảo mật khác nhau, mức độ thẩm quyền của đối tượng truy cập, chế độ xử lý dữ liệu thành chín lớp và quy định một bộ yêu cầu cho từng lớp. Tùy thuộc vào đặc điểm xử lý thông tin trong hệ thống tự động, các lớp được chia thành ba nhóm.

6. “Công nghệ máy tính. Tường lửa. Bảo vệ chống truy cập trái phép vào thông tin. Các chỉ số bảo mật chống truy cập thông tin trái phép"– tuyên bố các yêu cầu đối với các loại tường lửa khác nhau. Tổng cộng có năm lớp bảo mật tường lửa. Việc phân loại được thực hiện tùy thuộc vào lớp bảo mật của các hệ thống tự động mà tường lửa được sử dụng để bảo vệ.

Dựa trên các tài liệu quản lý và khung pháp lý của FSTEC của Nga, việc phát triển, chứng nhận và sử dụng các phương tiện bảo vệ thông tin khỏi bị truy cập trái phép được thực hiện, cũng như cấp phép cho các doanh nghiệp có quyền hoạt động trong lĩnh vực bảo vệ thông tin trên lãnh thổ Liên bang Nga.

Gửi công việc tốt của bạn trong cơ sở kiến ​​thức thật đơn giản. Sử dụng mẫu dưới đây

Làm tốt lắm vào trang web">

Các sinh viên, nghiên cứu sinh, các nhà khoa học trẻ sử dụng nền tảng kiến ​​thức trong học tập và công việc sẽ rất biết ơn các bạn.

Đăng trên http://www.allbest.ru/

Bộ Giao thông vận tải Liên bang Nga

Cơ quan Vận tải Đường sắt Liên bang Ngân sách nhà nước liên bang cơ sở giáo dục giáo dục chuyên nghiệp cao hơn

"Viễn Đông Đại học bang cách giao tiếp"

Vụ Luật Dân sự, Kinh doanh và Giao thông vận tải

Kỷ luật: Hỗ trợ pháp lý bảo mật thông tin

Chủ đề: Cấp phép và chứng nhận trong lĩnh vực an toàn thông tin

Được hoàn thành bởi sinh viên

Nepomnyashchaya Natalya Evgenievna

Người kiểm tra: giáo viên bộ môn:

Zheleznykov Anatoly Mikhailovich.

Khabarovsk

Giới thiệu

1. Cấp phép trong lĩnh vực an toàn thông tin

1.1 Cơ quan cấp phép - FSTEC của Nga

1.2 Cơ quan cấp phép - FSB của Nga

2. Chứng nhận lĩnh vực an toàn thông tin

2.1 Cơ cấu tổ chức của hệ thống chứng nhận

2.2 Thủ tục chứng nhận

Phần kết luận

Thư mục

Giới thiệu

Một trong những vấn đề trong lĩnh vực an ninh thông tin ở Nga là thiếu các tài liệu chính thức với các khuyến nghị chi tiết để xây dựng hệ thống thông tin an toàn, tương tự như các hệ thống được phát triển bởi Viện Công nghệ Tiêu chuẩn Hoa Kỳ (Hoa Kỳ) và tiêu chuẩn của Anh. Mặc dù ở Anh không có quy định nào yêu cầu tuân thủ các tiêu chuẩn của chính phủ nhưng khoảng 60% các công ty và tổ chức của Anh tự nguyện sử dụng tiêu chuẩn đã được phát triển và số còn lại có ý định thực hiện các khuyến nghị của nó trong thời gian tới

Việc cấp phép và chứng nhận trong lĩnh vực hệ thống bảo mật thông tin có thể làm giảm mức độ nghiêm trọng của vấn đề này. Cần phải đảm bảo cho người dùng rằng các công cụ bảo mật thông tin họ sử dụng có khả năng cung cấp mức độ bảo vệ cần thiết. Việc cấp phép có thể đảm bảo rằng chỉ những chuyên gia có trình độ cao trong lĩnh vực này mới giải quyết được vấn đề bảo mật thông tin và các sản phẩm họ tạo ra sẽ ở cấp độ phù hợp và có thể vượt qua chứng nhận.

Nếu không có chứng nhận, không thể đánh giá liệu sản phẩm có chứa các khả năng không có giấy tờ có hại hay không, sự hiện diện của chúng đặc biệt điển hình đối với hầu hết các sản phẩm nước ngoài, đôi khi có thể dẫn đến trục trặc trong hệ thống và thậm chí là hậu quả không thể khắc phục được đối với nó. Một ví dụ điển hình về khả năng không được ghi chép như vậy là khả năng do Ericsson đặt ra khi phát triển các tổng đài điện thoại, trên cơ sở đó Bộ Đường sắt Liên bang Nga xây dựng cơ chế của mình. mạng điện thoại, khả năng chặn công việc của họ khi nhận cuộc gọi từ một số điện thoại cụ thể mà công ty từ chối nêu tên. Và ví dụ này không phải là duy nhất.

Quá trình chứng nhận một sản phẩm phần mềm mất khoảng thời gian tương đương với quá trình phát triển nó và thực tế là không thể nếu không có mã nguồn của chương trình có nhận xét. Đồng thời, nhiều công ty nước ngoài không muốn cung cấp mã nguồn sản phẩm của họ. sản phẩm phần mềmđến các trung tâm chứng nhận của Nga. Ví dụ, mặc dù Microsoft đã đồng ý về nguyên tắc chứng nhận hệ điều hành Windows NT ở Nga, trong đó có hơn 50 lỗi liên quan đến bảo mật đã được xác định, vấn đề này vẫn chưa thể tiến triển trong nhiều tháng do thiếu cơ sở dữ liệu. mã nguồn.

Khó khăn trong việc chứng nhận dẫn đến thực tế là trong số các sản phẩm cùng loại, những sản phẩm đơn giản nhất sẽ nhận được chứng chỉ trước, đó là lý do tại sao chúng có vẻ đáng tin cậy hơn đối với người dùng. Thời gian chứng nhận dài dẫn đến việc công ty phát triển có thời gian để đưa phiên bản mới của sản phẩm ra thị trường và quá trình này trở nên vô tận.

Việc chứng nhận các phương tiện kỹ thuật về bảo mật thông tin khó được thực hiện nếu không có các tiêu chuẩn phù hợp, việc tạo ra chúng ở Nga không ít bị cản trở do thiếu nguồn tài chính. Vấn đề này có thể được giải quyết nếu có một số công ty quan tâm đến việc bán hàng và một số tổ chức quan tâm đến việc sử dụng các phương tiện kỹ thuật thích hợp. Ví dụ, thành quả từ nỗ lực chung của các tổ chức, công ty và FSTEC (trước đây là Ủy ban Kỹ thuật Nhà nước (STC)) là việc phát triển Tài liệu Hướng dẫn Kỹ thuật của Ủy ban Hải quan Nhà nước Liên bang Nga "Thiết bị máy tính. Tường lửa. Bảo vệ." chống truy cập trái phép vào thông tin. Các chỉ số bảo mật chống truy cập thông tin trái phép." Nó cho phép phân loại các công cụ có khả năng bảo vệ mạng công ty khỏi sự xâm nhập từ bên ngoài ở một mức độ nào đó.

Tài liệu giả định sự tồn tại của một số loại tường lửa: từ loại đơn giản nhất, chỉ cho phép kiểm soát luồng thông tin, đến loại phức tạp nhất, thực hiện mã hóa hoàn toàn thông tin đến, bảo vệ hoàn toàn mạng công ty khỏi những ảnh hưởng từ bên ngoài. Ngày nay, các tường lửa như Sun Screen, SKIPbridge và Pandora đã được chứng nhận tuân thủ các thông số kỹ thuật được phát triển theo Tài liệu Hướng dẫn Kỹ thuật, được pháp luật hiện hành cho phép. Tuy nhiên, chứng nhận của họ không phải là không gặp khó khăn.

1. Cấp phép trong lĩnh vực an toàn thông tin

1.1 Cơ quan cấp phép - FSTEC của Nga

Các yêu cầu cấp phép đối với người nộp đơn xin cấp giấy phép để thực hiện các hoạt động phát triển và sản xuất SZKI (sau đây gọi là giấy phép) là:

1. Người xin cấp giấy phép có ít nhất hai chuyên gia có trình độ học vấn cao hơn giáo dục chuyên nghiệp trong lĩnh vực kỹ thuật an toàn thông tin hoặc kỹ thuật cao hơn hoặc giáo dục trung cấp nghề (kỹ thuật) và những người đã được đào tạo lại hoặc đào tạo nâng cao về phát triển và (hoặc) sản xuất an toàn thông tin; chuyên gia đảm bảo bảo vệ người dùng

2. sự sẵn có của cơ sở để thực hiện loại hoạt động được cấp phép đáp ứng các yêu cầu của tài liệu kỹ thuật và công nghệ, tiêu chuẩn quốc gia và tài liệu phương pháp luận trong OZI và thuộc về người nộp đơn xin cấp phép về quyền sở hữu hoặc trên cơ sở pháp lý khác;

3. sự sẵn có, về quyền sở hữu hoặc trên cơ sở pháp lý khác, các thiết bị kiểm soát và đo lường cần thiết để thực hiện loại hoạt động được cấp phép (đã vượt qua kiểm định đo lường (hiệu chuẩn) và đánh dấu theo luật pháp của Liên bang Nga) , thiết bị sản xuất và thử nghiệm;

4. sự sẵn có của các chương trình nhằm thực hiện loại hoạt động được cấp phép (bao gồm phần mềm phát triển SZKI) cho máy tính điện tử và cơ sở dữ liệu do người nộp đơn cấp giấy phép sở hữu về quyền sở hữu hoặc trên cơ sở pháp lý khác;

5. sự sẵn có của các giấy phép do người nộp đơn sở hữu về quyền sở hữu hoặc trên cơ sở pháp lý khác, tài liệu kỹ thuật và công nghệ, tài liệu chứa các tiêu chuẩn quốc gia và tài liệu phương pháp luận cần thiết để thực hiện loại hoạt động được cấp phép theo danh sách đã được phê duyệt FSTEC của Nga;

6. sự hiện diện của hệ thống kiểm soát sản xuất, bao gồm các quy tắc và thủ tục kiểm tra và đánh giá hệ thống phát triển SZKI, có tính đến những thay đổi được thực hiện đối với thiết kế và tài liệu thiết kế cho các sản phẩm đang được phát triển

7. sự hiện diện của hệ thống kiểm soát sản xuất, bao gồm các quy tắc và quy trình kiểm tra và đánh giá hệ thống sản xuất SZKI, đánh giá chất lượng sản phẩm và tính nhất quán thiết lập các thông số, hạch toán những thay đổi đối với tài liệu kỹ thuật và thiết kế cho sản phẩm được sản xuất, hạch toán thành phẩm V. Kiyaev, O. Granichin // Bảo mật hệ thống thông tin // Đại học Mở Quốc gia "INTUIT" * 2016 // trang 105-106

1.2 Cơ quan cấp phép - FSB của Nga

Các yêu cầu cấp phép đối với người nộp đơn xin giấy phép là:

1Người trong biên chế của người xin cấp giấy phép làm công việc chính theo quy định bàn nhân sự nhân sự có trình độ sau đây:

2. người quản lý và (hoặc) người được ủy quyền giám sát công việc trong loại hoạt động được cấp phép, có trình độ học vấn chuyên môn cao hơn trong lĩnh vực bảo mật thông tin theo "Phân loại chuyên ngành toàn Nga" và (hoặc) đã trải qua đào tạo lại một trong những chuyên ngành trong lĩnh vực này (thời gian quy định - hơn 500 giờ học), cũng như có ít nhất 5 năm kinh nghiệm trong lĩnh vực công việc được thực hiện trong một loại hoạt động được cấp phép;

3. công nhân kỹ thuật và kỹ thuật (ít nhất hai người) có trình độ học vấn chuyên môn cao hơn trong lĩnh vực bảo mật thông tin theo “Phân loại chuyên ngành toàn Nga” và (hoặc) đã được đào tạo lại về chuyên ngành này (giai đoạn quy định - trên 100 giờ học);

4. Có mặt bằng để thực hiện loại hoạt động được cấp phép đáp ứng các yêu cầu về tài liệu kỹ thuật và công nghệ, tiêu chuẩn quốc gia và tài liệu phương pháp luận trong lĩnh vực sở hữu công nghiệp và thuộc sở hữu của người nộp đơn xin cấp phép về quyền sở hữu hoặc trên cơ sở pháp lý khác ;

5. Người nộp đơn xin cấp phép có quyền sở hữu hoặc trên cơ sở pháp lý khác, thiết bị đo lường và kiểm soát (đã trải qua quá trình kiểm tra (hiệu chuẩn) và đánh dấu đo lường theo quy định của pháp luật Liên bang Nga), thiết bị sản xuất, thử nghiệm và các thiết bị khác cơ sở vật chất cần thiết để thực hiện loại hoạt động được cấp phép;

6. sự sẵn có của các chương trình nhằm thực hiện loại hoạt động được cấp phép (bao gồm phần mềm phát triển SZKI) cho máy tính điện tử và cơ sở dữ liệu do người nộp đơn cấp giấy phép sở hữu về quyền sở hữu hoặc trên cơ sở pháp lý khác;

7. sự sẵn có của các công cụ xử lý thông tin được chứng nhận theo yêu cầu bảo mật thông tin, được sử dụng để phát triển và sản xuất hệ thống bảo vệ thông tin, phù hợp với các yêu cầu bảo vệ thông tin;

8. sự hiện diện của hệ thống kiểm soát sản xuất, bao gồm các quy tắc và thủ tục kiểm tra và đánh giá hệ thống phát triển SZKI, có tính đến những thay đổi được thực hiện đối với thiết kế và tài liệu thiết kế cho các sản phẩm đang được phát triển

9. sự hiện diện của hệ thống kiểm soát sản xuất, bao gồm các quy tắc và quy trình kiểm tra và đánh giá hệ thống sản xuất SZKI, đánh giá chất lượng của sản phẩm được sản xuất và tính ổn định của các thông số đã thiết lập, tính đến những thay đổi được thực hiện đối với tài liệu kỹ thuật và thiết kế cho sản phẩm được sản xuất, kế toán thành phẩm Snytikov A.A. Cấp phép và chứng nhận trong lĩnh vực bảo mật thông tin.-M: Gelios ARV, 2012 // trang 223-224

2. Chứng nhận bảo mật thông tin

2.1 Cơ cấu tổ chức của hệ thống chứng nhận

Cơ cấu tổ chức của hệ thống chứng nhận được hình thành bởi:

1. Ủy ban Kỹ thuật Nhà nước Nga (cơ quan liên bang chứng nhận các phương tiện an ninh thông tin);

2.cơ quan trung ương của hệ thống chứng nhận an toàn thông tin;

3. Cơ quan chứng nhận phương tiện an toàn thông tin;

4. trung tâm kiểm nghiệm (phòng thí nghiệm);

5. người nộp đơn (nhà phát triển, nhà sản xuất, nhà cung cấp, người tiêu dùng sản phẩm bảo mật thông tin).

2Ủy ban Kỹ thuật Nhà nước Nga, trong phạm vi thẩm quyền của mình, thực hiện các chức năng sau:

1. tạo ra hệ thống chứng nhận cho các công cụ bảo mật thông tin và thiết lập các quy tắc chứng nhận cho các loại công cụ bảo mật thông tin cụ thể trong hệ thống này;

2.tổ chức hoạt động của hệ thống chứng nhận cho các công cụ bảo mật thông tin;

3. xác định danh sách các phương tiện bảo mật thông tin phải được chứng nhận bắt buộc trong hệ thống này;

4. thiết lập các quy định về công nhận và cấp giấy phép để thực hiện công việc chứng nhận;

5.tổ chức và tài trợ cho việc phát triển các tài liệu quy định và phương pháp luận cho hệ thống chứng nhận các công cụ bảo mật thông tin;

6. xác định cơ quan trung tâm của hệ thống chứng nhận an toàn thông tin (nếu cần) hoặc thực hiện các chức năng của cơ quan này;

7. phê duyệt các văn bản quy định về bảo mật thông tin để tuân thủ việc thực hiện chứng nhận các phương tiện bảo mật thông tin trong hệ thống và các tài liệu phương pháp luận về việc tiến hành kiểm tra chứng nhận;

8. công nhận các tổ chức chứng nhận và trung tâm thử nghiệm (phòng thí nghiệm), cấp giấy phép cho họ thực hiện một số loại làm;

9. dẫn Đăng ký tiểu bangđối tượng và đối tượng chứng nhận;

10. thực hiện kiểm soát, giám sát nhà nước và thiết lập quy trình kiểm tra kiểm tra việc tuân thủ các quy tắc chứng nhận và phương tiện bảo mật thông tin được chứng nhận;

11. xem xét các khiếu nại liên quan đến vấn đề chứng nhận;

12. quà vào đăng ký nhà nước Hệ thống chứng nhận Gosstandart của Nga và dấu phù hợp;

13. tổ chức công bố thông tin định kỳ về chứng nhận;

14. Làm việc với các cơ quan có thẩm quyền liên quan của các nước và tổ chức quốc tế về các vấn đề chứng nhận, ra quyết định công nhận các chứng chỉ quốc tế và nước ngoài;

15.tổ chức đào tạo và cấp chứng chỉ kiểm toán viên chuyên nghiệp;

16. cấp giấy chứng nhận và giấy phép sử dụng dấu hợp quy;

17. Đình chỉ hoặc hủy bỏ hiệu lực của các giấy chứng nhận đã cấp.

2.2 Thủ tục chứng nhận

Thủ tục chứng nhận bao gồm các bước sau:

nộp và xét duyệt hồ sơ cấp chứng nhận công cụ an toàn thông tin; thử nghiệm các công cụ bảo mật thông tin được chứng nhận và chứng nhận quá trình sản xuất chúng;

kiểm tra kết quả thử nghiệm, đăng ký, đăng ký và cấp giấy chứng nhận, giấy phép sử dụng dấu hợp quy;

thực hiện kiểm soát, giám sát nhà nước, kiểm tra kiểm tra việc tuân thủ các quy định về chứng nhận bắt buộc và các phương tiện bảo mật thông tin được chứng nhận.

thông báo kết quả chứng nhận công cụ an toàn thông tin;

xem xét kháng cáo.

Nộp và xét duyệt hồ sơ cấp chứng nhận công cụ an toàn thông tin.

Để có được chứng chỉ, người nộp đơn nộp đơn (Phụ lục 1) cho Ủy ban Kỹ thuật Nhà nước Nga để thử nghiệm, nêu rõ chương trình chứng nhận, tiêu chuẩn và các tài liệu quy định khác về việc tuân thủ các yêu cầu phải được chứng nhận.

Ủy ban Kỹ thuật Nhà nước Nga, trong vòng một tháng kể từ khi nhận được đơn đăng ký, sẽ gửi cho người nộp đơn, đến tổ chức chứng nhận và trung tâm kiểm nghiệm (phòng thí nghiệm) được chỉ định để chứng nhận quyết định tiến hành chứng nhận (Phụ lục 2). Theo yêu cầu của người nộp đơn, tổ chức chứng nhận và trung tâm kiểm nghiệm (phòng thí nghiệm) có thể được thay đổi.

Sau khi nhận được quyết định, người nộp đơn có nghĩa vụ nộp cho tổ chức chứng nhận và trung tâm kiểm nghiệm (phòng thí nghiệm) một thiết bị bảo mật thông tin phù hợp với thông số kỹ thuật của sản phẩm này cũng như một bộ tài liệu kỹ thuật và vận hành theo quy định của văn bản quy định về ESKD, ESPD cho thiết bị an toàn thông tin được chứng nhận.

Thử nghiệm các công cụ bảo mật thông tin được chứng nhận tại các trung tâm thử nghiệm (phòng thí nghiệm).

Việc thử nghiệm phương tiện bảo mật thông tin đã được chứng nhận được thực hiện trên các mẫu có thiết kế, thành phần và công nghệ sản xuất phải giống với mẫu cung cấp cho người tiêu dùng, khách hàng theo chương trình và phương pháp thử nghiệm đã được thỏa thuận với tổ chức, cá nhân được phê duyệt. cơ quan chứng nhận. Tài liệu kỹ thuật và vận hành phương tiện an toàn thông tin nối tiếp phải có chữ cái không thấp hơn “O1” (theo ESKD).

Số lượng mẫu, quy trình lựa chọn và nhận dạng phải tuân thủ các yêu cầu của các tài liệu quy định và phương pháp luận về loại này phương tiện bảo mật thông tin.

Nếu tại thời điểm chứng nhận không có trung tâm thử nghiệm (phòng thí nghiệm), tổ chức chứng nhận sẽ xác định khả năng, địa điểm và điều kiện thử nghiệm để đảm bảo tính khách quan cho kết quả của mình.

Thời gian của các cuộc kiểm tra được xác định theo thỏa thuận giữa người nộp đơn và trung tâm kiểm tra (phòng thí nghiệm).

Theo yêu cầu của người nộp đơn, đại diện của người đó phải được tạo cơ hội để làm quen với các điều kiện bảo quản và thử nghiệm mẫu phương tiện bảo mật thông tin tại trung tâm thử nghiệm (phòng thí nghiệm). Kiyaev V., Granichin O. // Bảo mật hệ thống thông tin // Đại học Mở Quốc gia "INTUIT" * 2016 //trang 105-106

Kết quả kiểm tra được ghi lại trong các giao thức và kết luận, được trung tâm kiểm nghiệm (phòng thí nghiệm) gửi cho tổ chức chứng nhận và dưới dạng bản sao - cho người nộp đơn.

Khi có những thay đổi về thiết kế (thành phần) của phương tiện bảo mật thông tin hoặc công nghệ sản xuất chúng, có thể ảnh hưởng đến đặc tính của phương tiện bảo mật thông tin, người nộp đơn (nhà phát triển, nhà sản xuất, nhà cung cấp) sẽ thông báo cho tổ chức chứng nhận về việc này. Sau này quyết định về sự cần thiết phải tiến hành các thử nghiệm mới đối với các công cụ bảo mật thông tin này.

Việc chứng nhận công cụ bảo mật thông tin nhập khẩu được thực hiện theo nguyên tắc tương tự như công cụ trong nước.

Phần kết luận

Và vì vậy, đây là một quy trình đánh giá sự phù hợp, thông qua đó một tổ chức độc lập với nhà sản xuất (người bán) và người tiêu dùng (người mua) chứng nhận viết rằng sản phẩm đáp ứng các yêu cầu đã được thiết lập. Nếu nói về chứng nhận liên quan đến các công cụ bảo mật thông tin thì đây là hoạt động nhằm xác nhận sự tuân thủ của chúng với các yêu cầu của quy chuẩn kỹ thuật, tiêu chuẩn quốc gia hoặc các văn bản quy định khác về bảo mật thông tin.

Bản thân hệ thống chứng nhận này được đại diện bởi FSTEC của Nga, cơ quan có thẩm quyền đối với các tổ chức được công nhận về chứng nhận các phương tiện bảo mật thông tin và phòng thí nghiệm thử nghiệm.

Toàn bộ hệ thống chứng nhận đảm bảo đạt được mục tiêu trước hết là an ninh quốc gia trong lĩnh vực tin học hóa. Không kém phần quan trọng là việc hình thành và thực hiện chính sách khoa học, kỹ thuật và công nghiệp thống nhất trong lĩnh vực tin học hóa. Cùng với việc thúc đẩy hình thành thị trường cho các công nghệ thông tin an toàn và các phương tiện hỗ trợ chúng, quy định và kiểm soát sự phát triển cũng như việc sản xuất các phương tiện bảo mật thông tin sau đó, hỗ trợ người tiêu dùng trong việc lựa chọn các phương tiện bảo mật thông tin có thẩm quyền, bảo vệ người tiêu dùng. từ sự thiếu trung thực của nhà thầu (nhà sản xuất, nhà sản xuất), xác nhận các chỉ tiêu chất lượng sản phẩm.

Cấp phép - các hoạt động liên quan đến việc cấp giấy phép, cấp lại tài liệu xác nhận sự sẵn có của giấy phép, đình chỉ và gia hạn giấy phép, hủy giấy phép và giám sát của cơ quan cấp phép về việc tuân thủ của người được cấp phép khi thực hiện các loại hoạt động được cấp phép với giấy phép liên quan yêu cầu và điều kiện.

Giấy phép - giấy phép đặc biệt để thực hiện một loại hoạt động cụ thể, bắt buộc phải tuân thủ các yêu cầu và điều kiện cấp phép, do cơ quan cấp phép cấp cho pháp nhân hoặc cá nhân doanh nhân.

Hoạt động cấp phép trong lĩnh vực bảo mật thông tin được thực hiện bởi FSB và FSTEC của Nga. Hãy xem xét các loại hoạt động được cấp phép trong lĩnh vực bảo vệ thông tin bí mật.

FSB của Nga:

1. Phát triển và (hoặc) sản xuất các phương tiện bảo vệ thông tin bí mật (thuộc thẩm quyền của FSB)

2. Phát triển, sản xuất, bán và mua lại nhằm mục đích bán các phương tiện kỹ thuật đặc biệt nhằm mục đích lấy thông tin bí mật, doanh nhân cá nhân và pháp nhân tham gia hoạt động kinh doanh

3. Hoạt động xác định các thiết bị điện tử nhằm mục đích lấy thông tin bí mật tại cơ sở và phương tiện kỹ thuật (trừ trường hợp hoạt động này được thực hiện để đáp ứng nhu cầu riêng của pháp nhân hoặc cá nhân doanh nhân)

4. Hoạt động phân phối công cụ mã hóa (mật mã)

5. Hoạt động bảo trì công cụ mã hóa (mật mã)

6. Cung cấp dịch vụ trong lĩnh vực mã hóa thông tin

7. Phát triển, sản xuất các công cụ mã hóa (mật mã), được bảo vệ bằng công cụ mã hóa (mật mã) cho các hệ thống thông tin và hệ thống viễn thông.

Thư mục

1 . Kiaev V., Granichin O. // Bảo mật hệ thống thông tin// Đại học Mở Quốc gia "INTUIT" * 2016 //trang 105-106

2. Snytikov A.A. Cấp phép và chứng nhận trong lĩnh vực bảo mật thông tin.-M: Gelios ARV, 2012 // trang 223-224

3. Hệ thống chứng nhận bảo vệ thông tin mật mã có nghĩa là: Số ROSS RU.0001.030001 ngày 15 tháng 11 năm 2012.

4. Bumazhkov A. Kirina A. Cấp phép và chứng nhận trong lĩnh vực bảo mật thông tin

5.Thuật ngữ và định nghĩa trong lĩnh vực bảo mật thông tin.Moscow 2011

Đăng trên Allbest.ru

...

Tài liệu tương tự

    Nguyên tắc cơ bản rằng an ninh thông tin và khung pháp lý của nó phải đảm bảo. Các cơ quan nhà nước của Liên bang Nga kiểm soát các hoạt động trong lĩnh vực an ninh thông tin, các văn bản quy định trong lĩnh vực này. Các phương pháp bảo vệ thông tin.

    tóm tắt, được thêm vào ngày 24/09/2014

    Phương tiện và phương pháp giải quyết Các nhiệm vụ khác nhau về bảo vệ thông tin, chống rò rỉ, đảm bảo an toàn cho thông tin được bảo vệ. Các công cụ bảo mật thông tin kỹ thuật (phần cứng), phần mềm, tổ chức, phần cứng và phần mềm hỗn hợp.

    tóm tắt, được thêm vào ngày 22/05/2010

    Hỗ trợ pháp lý và pháp lý về bảo mật thông tin ở Liên bang Nga. Chế độ pháp lý của thông tin. Các cơ quan đảm bảo an ninh thông tin của Liên bang Nga. Dịch vụ tổ chức bảo mật thông tin ở cấp doanh nghiệp. Tiêu chuẩn bảo mật thông tin.

    trình bày, được thêm vào ngày 19/01/2014

    Các phương pháp truy cập trái phép thông tin chính trong hệ thống máy tính và bảo vệ khỏi nó. Các hành vi tổ chức, pháp lý và quản lý trong nước và quốc tế nhằm đảm bảo an ninh thông tin của quá trình xử lý thông tin.

    tóm tắt, được thêm vào ngày 09/04/2015

    Thông tin như thế nào phần quan trọng nhất hệ thống thông tin liên lạc hiện đại. Quy định pháp luật trong lĩnh vực an toàn thông tin. Văn bản quy định về bảo vệ thông tin. Các hình thức tổ chức và pháp lý bảo vệ bí mật nhà nước.

    kiểm tra, thêm vào ngày 03/11/2009

    Khuyến nghị phát triển doanh nghiệp nhỏ. Bảo vệ quyền sở hữu, phát triển thể chế thị trường. Thuế và quản lý của họ. Hệ thống cấp phép và cấp phép. Thanh tra, xử phạt và xử phạt. Tiếp cận thông tin và sự cởi mở của nhà nước.

    tóm tắt, được thêm vào ngày 31/05/2009

    Mục đích cấp phép trong lĩnh vực bảo hộ môi trường và sử dụng tài nguyên thiên nhiên. Danh sách các loại giấy phép - tài liệu cấp quyền sử dụng một loại tài nguyên thiên nhiên ở một địa điểm xác định và trong những điều kiện nhất định.

    kiểm tra, thêm vào 19/12/2012

    Cấp phép như một tổ chức luật dân sự. chương trình chính phủ tư nhân hóa các doanh nghiệp nhà nước và thành phố ở Nga. Chức năng dịch vụ liên bang về giám sát trong lĩnh vực giao thông vận tải. Cấp phép hoạt động kinh doanh.

    Khái niệm thông tin tài nguyên thông tin, vị trí của chúng trong luật hiện đại. Dấu hiệu thông tin với truy cập hạn chế. Chế độ pháp lý bảo vệ bí mật nhà nước, bí mật công vụ, bí mật nghề nghiệp; đảm bảo không thể tiếp cận được với bên thứ ba.

    tóm tắt, được thêm vào ngày 13/12/2013

    Cấp phép như một hình thức quy định của chính phủ. Thủ tục cấp phép hoạt động của ngân hàng, tổ chức tài chính phi ngân hàng. Cấp phép hoạt động thiết kế, xây dựng công trình và khảo sát kỹ thuật.

Sự phát triển nhanh chóng của tin học hóa và sự gia tăng về số lượng thông tin số buộc phải tăng mức độ an ninh. Điều này dẫn đến phát triển tích cực theo nhiều cách khác nhau bảo vệ dữ liệu, cũng như các công ty cung cấp dịch vụ bảo mật. Đồng thời, các hoạt động đó chỉ được phép số lượng giới hạn các công ty.

Nghĩa vụ xin phép

Bảo vệ cá nhân và thông tin thương mại- một nhiệm vụ khá tế nhị và quan trọng. Việc cung cấp những dịch vụ như vậy mà không được phép là không thể chấp nhận được. Các loại biện pháp sau đây là cần thiết để bảo vệ thông tin:

  • Phát triển, sản xuất và phân phối công cụ mã hóa
  • Làm việc về bảo vệ kỹ thuật thông tin bí mật
  • Phát hiện phương tiện điện tửđược sử dụng để thu thập dữ liệu bí mật
  • Sản xuất và phát triển SZKI (phương tiện bảo vệ thông tin bí mật)
  • BẢO TRÌ phương tiện mật mã bảo vệ thông tin, viễn thông và hệ thống thông tin.

Một ngoại lệ cho điều này là việc phát triển các công cụ mã hóa cho mục đích sử dụng cá nhân hoặc. Ngoài ra, không cần phải có giấy phép để bảo trì thông tin và các hệ thống khác được sử dụng cho thông tin nội bộ công ty cụ thể.

Tại sao bạn cần giấy phép để hoạt động trong lĩnh vực bảo vệ thông tin bí mật về mặt kỹ thuật (và khác), chúng tôi sẽ giải thích bên dưới.

Giấy phép hoạt động liên quan đến kỹ thuật bảo vệ thông tin mật

Nhiệm vụ cấp phép chính

Điều đáng hiểu là mức độ bảo mật thông tin có thể khác nhau.

  • Đối với một số công ty, việc rò rỉ dữ liệu chỉ có thể mang lại sự bất tiện về mặt đạo đức, trong khi các công ty khác sẽ mất khả năng hoạt động.
  • Ngoài ra, đừng quên những bí mật kinh doanh sản xuất nhiều loại hàng hóa khác nhau. Nếu chúng được xuất bản, có thể sự phát triển khác nhau sự kiện.

Nhiệm vụ chính của việc cấp phép là ngăn chặn các hoạt động không đủ năng lực. Người xin cấp phép phải đáp ứng nhiều tiêu chí để đảm bảo dịch vụ bảo vệ dữ liệu chất lượng và hỗ trợ kỹ thuật tận tình.

Video này sẽ cho bạn biết về các công nghệ bảo mật thông tin:

Văn bản quy phạm

Việc cấp giấy phép được quy định bởi một số quy định, luật và quy định. Một trong những tài liệu chính là luật liên bang Số 99 ngày 4 tháng 5 năm 2011 “Về cấp phép một số loại hoạt động.” Các Nghị định sau đây của Chính phủ Nga cũng áp dụng cho các hoạt động bảo vệ thông tin:

  • Số 45 ngày 26 tháng 01 năm 2006
  • Số 532 ngày 31 tháng 8 năm 2006
  • Số 691 ngày 23 tháng 9 năm 2002.

Cũng đáng đọc Nghị định của Chính phủ Liên bang Nga số 1418 ngày 24 tháng 12 năm 1994. Tất cả những tài liệu này cung cấp xem xét chi tiết thủ tục xin phép và các điều kiện để được cấp phép, cùng với danh sách các tài liệu cần thiết.

Quy trình xin giấy phép từ FSTEC của Nga để bảo vệ kỹ thuật thông tin bí mật, viết tuyên bố về vấn đề này - tất cả những điều này được mô tả dưới đây.

Xin giấy phép hoạt động an toàn thông tin

Các hoạt động bảo vệ thông tin đòi hỏi phải tuân thủ một danh sách lớn các điều kiện và sự chuẩn bị có hệ thống. Sau khi nộp đơn, người xin cấp phép phải trải qua cuộc kiểm tra chuyên môn bao gồm các nhân viên của FSB và FSTEC. Thành phần cụ thể của ủy ban chuyên gia phụ thuộc vào loại hoạt động đã chọn.

Hồ sơ và nơi nộp hồ sơ

Đơn đề nghị cấp giấy phép hoạt động bảo vệ thông tin được lập theo mẫu do pháp luật quy định. Một ứng dụng mẫu được cung cấp bởi cơ quan cấp phép của tiểu bang. Hai tổ chức tham gia cấp giấy phép hoạt động an toàn thông tin:

  1. Cơ quan An ninh Liên bang (FSB).
  2. Dịch vụ Liên bang về Kỹ thuật và kiểm soát xuất khẩu(FSTEK).

Phần lớn các đơn đăng ký được nộp cho FSB; họ cung cấp hầu hết các hoạt động. FSTEC có thẩm quyền kiểm soát việc sản xuất và phát triển các phương tiện chuyên dụng để bảo vệ thông tin bí mật.

Các điều kiện cần thiết để cấp phép hoạt động bảo vệ kỹ thuật thông tin bí mật (xin giấy phép cho việc này) được mô tả dưới đây.

Điều kiện

Khó khăn chính trong việc xin giấy phép là các điều khoản cung cấp. Danh sách khá rộng và nếu thiếu bất kỳ mục nào, người nộp đơn sẽ bị tước quyền cấp giấy phép. Đồng thời, điều kiện để các loại khác nhau các hoạt động khác nhau, mặc dù có một danh sách chung.

Các điều kiện sau đây phải được đáp ứng:

  • Có ít nhất 2 nhân viên được đào tạo phù hợp hoặc đã hoàn thành khóa đào tạo lại
  • Sở hữu hoặc cho thuê mặt bằng bắt buộc phải tuân thủ kỹ thuật với loại hoạt động đã khai báo
  • Hình thành cơ sở vật chất và kỹ thuật từ việc điều khiển, đo lường, thử nghiệm và các thiết bị khác loại yêu cầu thiết bị tùy thuộc vào loại hoạt động
  • Xác nhận rằng phần mềm được yêu cầu được sở hữu hoặc sở hữu hợp pháp
  • khả dụng hệ thống chuyên dụng kiểm soát phù hợp với loại hoạt động đã chọn và tiểu mục cụ thể của nó
  • Sở hữu hợp pháp tài liệu kỹ thuật, sự phát triển về mặt phương pháp, cũng như các dữ liệu giấy và dữ liệu số khác cần thiết để tiến hành kinh doanh.

Ngoài ra, một số loại hoạt động nhất định có thể yêu cầu một số phương tiện xử lý thông tin nhất định được chứng nhận về an toàn.

Một yêu cầu khác liên quan đến tất cả các loại hoạt động, ngoại trừ việc sản xuất và phát triển SZKI, là sự có mặt của một người quản lý có giáo dục đại học chuyên môn " Bảo mật thông tin» hoặc đã hoàn thành khóa đào tạo lại trên 500 giờ học.

Tài liệu cần thiết

Cùng với các điều kiện đã nêu, bạn phải cung cấp gói tài liệu sau:

  • Hợp đồng lao động, chứng chỉ, bằng cấp của người lao động
  • Đơn đề nghị và chứng từ nộp nghĩa vụ nhà nước
  • Tài liệu xác nhận sự tồn tại hợp pháp của hệ thống kiểm soát
  • Tài liệu tiêu đề cho cơ sở và phần mềm
  • Dữ liệu về sự sẵn có của tài liệu kỹ thuật và các tài liệu khác cần thiết cho công việc
  • Tài liệu xác nhận sự sẵn có của cơ sở vật chất và kỹ thuật cần thiết
  • Giấy chứng nhận về sự phù hợp của cơ sở xử lý thông tin và/hoặc cơ sở được bảo vệ.

Tất cả dữ liệu được cung cấp cùng với các tài liệu cấu thành của người nộp đơn. Số lượng mẫu giấy rất khác nhau tùy thuộc vào loại hoạt động được chọn, sự hiện diện của một số cơ sở, chương trình và tài liệu kỹ thuật. Chính vì vậy, khi thu thập hồ sơ cần làm rõ sự có mặt của các quy định mới liên quan đến cấp phép hoạt động bảo vệ thông tin.

Các giai đoạn của hoạt động cấp phép tổ chức bảo mật thông tin được mô tả dưới đây.

Giai đoạn

Thủ tục cấp giấy phép mất nhiều thời gian một số lượng lớn thời gian. Thời hạn pháp lý để ban hành của tài liệu này giới hạn trong 45 ngày. Một trong bước quan trọng là giai đoạn sơ bộ để xin phép; khả năng cấp quyền cho các hoạt động bảo vệ thông tin phụ thuộc vào chất lượng thực hiện.

Giai đoạn chuẩn bị cấp giấy phép:

  • Nghiên cứu khung pháp lý
  • Xác định việc tuân thủ các điều kiện đã nêu
  • Thu thập một gói tài liệu và lập một ứng dụng
  • Phân tích lại các điều kiện và tài liệu được cung cấp.

Nếu giai đoạn chuẩn bị cấp phép được thực hiện đúng thì khả năng được cấp giấy phép là rất cao. Thông thường lý do từ chối chính xác là do sai sót trong hồ sơ đã nộp hoặc không tuân thủ các điều kiện cần thiết.

Sau giai đoạn sơ bộ, cần nộp hồ sơ cho cơ quan cấp phép được yêu cầu, được lựa chọn tùy thuộc vào loại hoạt động (FSB hoặc FSTEC). Điểm tiếp theo sẽ là việc kiểm tra các tài liệu bởi một ủy ban chuyên gia. Nếu họ tuân thủ, việc kiểm tra sẽ được tổ chức Năng lực kỹ thuật và điều kiện tiến hành hoạt động. Giai đoạn cuối là việc cấp giấy phép chính thức.

Thông tin hữu ích

  • Cần đặc biệt chú ý đến thực tế là tất cả những người được cấp phép hiện tại đều phải chịu sự kiểm tra định kỳ của các nhân viên FSB. Hơn nữa, loại hoạt động này được đặc trưng bởi việc kiểm tra tự phát mà không có cảnh báo. Chúng được thực hiện một cách hợp pháp để đạt được chất lượng tối đa dịch vụ lưu trữ thông tin được cung cấp.
  • Vì lý do này, thời hạn hiệu lực của giấy phép được xác định là tối thiểu là 5 năm và thủ tục gia hạn giấy phép đã được đơn giản hóa. Cần phải cấp lại văn bản xác nhận giấy phép. Theo đơn của người được cấp phép, anh ta được cấp hình thức mới với thời gian hiệu lực kéo dài. Điều này chỉ có thể thực hiện được trong trường hợp không có vi phạm nghiêm trọng - nếu có, giấy phép sẽ bị thu hồi.

Bản thân việc xin phép thực hiện các hoạt động bảo mật thông tin không phải là điều đặc biệt khó khăn. Khó lắp ráp hơn nhiều gói yêu cầu hồ sơ và đáp ứng đầy đủ các điều kiện theo yêu cầu. Khi xin giấy phép, điều quan trọng nhất cần chú ý là giai đoạn chuẩn bị và nếu làm tốt thì việc xin phép sẽ không khó.

Thậm chí nhiều hơn thông tin hữu ích bảo vệ thông tin và cấp phép cho các hoạt động đó có trong video này: