Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • televizori (Smart TV)
  • Licenciranje u oblasti informacione sigurnosti. Kako dobiti fstack licencu? Uslovi za dobijanje fstek licence

Licenciranje u oblasti informacione sigurnosti. Kako dobiti fstack licencu? Uslovi za dobijanje fstek licence

04.04.2019 televizori (Smart TV)

Licenciranje u oblasti zaštite informacija je djelatnost koja se sastoji u prijenosu ili sticanju prava za obavljanje poslova u oblasti zaštite informacija. Državna politika u oblasti licenciranja pojedinih vrsta djelatnosti i obezbjeđenja zaštite vitalnih interesa pojedinca, društva i države utvrđuje se Uredbom Vlade. Ruska Federacija od 24. decembra 1994. br. 1418 „O licenciranju određenih vrsta delatnosti“ (sa izmenama i dopunama Uredbama Vlade Ruske Federacije od 05.05.95. br. 450, od 22.04.97. br. 462, od 01.12.97. br. 1513, takođe vidi rezoluciju od 11.02.02 br. 135).

Licenca je dozvola za obavljanje poslova u oblasti informacione sigurnosti. Dozvola se izdaje za određene vrste djelatnosti na tri godine, nakon čega se preregistruje na način utvrđen za izdavanje dozvole.

Licenca se izdaje ako preduzeće koje je podnijelo zahtjev za licenciranje ima uslove za licenciranje: proizvodnu i ispitnu bazu, regulatornu i metodološku dokumentaciju i ima naučno i inženjersko osoblje.

Organizacionu strukturu sistema državnog licenciranja preduzeća u oblasti informacione bezbednosti čine:

državni organi za izdavanje dozvola;

· centri za licenciranje;

Kompanije kandidati.

Državni organi za izdavanje dozvola:

· organizuje obavezno državno licenciranje preduzeća;

izdaje državne dozvole preduzećima koja podnose zahtjev;

· dogovori sastav stručnih komisija koje predstavljaju centri za licenciranje;

· vrši kontrolu i nadzor nad kompletnošću i kvalitetom poslova nosilaca licenci u oblasti informacione sigurnosti.

Licencni centri:

· formiraju stručne komisije i dostavljaju njihov sastav na odobrenje rukovodiocima nadležnih državnih organa za licenciranje, a to su FSTEC i FSB;

· planiranje i obavljanje poslova na ispitivanju preduzeća-prijave;

· kontroliše kompletnost i kvalitet obavljenog posla od strane nosilaca licenci.

Centri za licenciranje u okviru državnih organa za licenciranje osnivaju se naredbama rukovodilaca ovih organa. Stručne komisije se obrazuju iz sastava stručnjaka industrije, državnih organa, drugih organizacija i institucija nadležnih za odgovarajuću oblast zaštite informacija. Stručne komisije se formiraju u jednoj ili više oblasti zaštite informacija.

Licenciranje FSTEC Rusije podliježu:

Sertifikacija, sertifikacioni testovi sigurnih tehničkih sredstava za obradu informacija (TSOI), tehnički i softverski alati zaštita, sredstva praćenja efikasnosti mjera zaštite informacija, softverska obrada, zaštita i kontrola sigurnosti;

· atestiranje sistema informatizacije, automatizovanih sistema upravljanja, sistema komunikacija i prenosa podataka, WT objekata i namjenskih prostorija za usklađenost sa zahtjevima smjernica i propisa o informacionoj sigurnosti;

razvoj, proizvodnja, prodaja, ugradnja, prilagođavanje, ugradnja, popravka, održavanje zaštićenih informatičkih objekata, tehničkih sredstava zaštite i kontrole efikasnosti mjera zaštite informacija, zaštićenih softverskih alata za obradu, zaštitu i kontrolu sigurnosti informacija;

· sprovođenje posebnih studija o lažnom elektromagnetnom zračenju i smetnjama (PEMIN) TSOI;

· projektovanje objekata u zaštićenom izvođenju.

Organ za izdavanje dozvola je odgovoran za:

· izrada pravila, procedura i normativno-metodskih dokumenata o pitanjima licenciranja;

· sprovođenje naučnog i metodološkog upravljanja licenciranim aktivnostima;

publikacija potrebne informacije o sistemu licenciranja;

· razmatranje zahtjeva organizacija i vojnih jedinica za izdavanje dozvola;

koordinacija izjava sa vojnim jedinicama nadležnim za relevantna područja zaštite informacija;

· koordinacija sastava stručnih komisija;

organizovanje i provođenje posebnih pregleda;

donošenje odluke o izdavanju licence;

izdavanje licenci;

donošenje odluke o suspenziji, obnavljanju ili ukidanju licence;

· vođenje registra izdatih, suspendovanih, obnovljenih i poništenih dozvola;

nabavka, računovodstvo i čuvanje obrazaca za licence;

organizacija rada atestacionih centara;

· praćenje kompletnosti i kvaliteta radova koje obavljaju nosioci licenci.

U skladu sa članom 17. Federalnog zakona br. 128-FZ od 8. avgusta 2001. godine „O licenciranju određenih vrsta delatnosti“ (sa izmenama i dopunama Saveznog zakona br. 80-FZ od 2. jula 2005.), sledeće vrste delatnosti ( u oblasti informacione bezbednosti) podležu licenciranju:

aktivnosti za distribuciju enkripcijskih (kriptografskih) alata;

aktivnosti za održavanje enkripcijska (kriptografska) sredstva;

Pružanje usluga u području šifriranja informacija;

· razvoj, proizvodnja enkripcijskih (kriptografskih) sredstava zaštićenih korištenjem enkripcijskih (kriptografskih) sredstava informacionih sistema, telekomunikacionih sistema;

· razvoj i (ili) proizvodnja sredstava za zaštitu povjerljivih informacija; djelatnosti tehničke zaštite povjerljiva informacija;

· aktivnosti na identifikaciji elektronskih uređaja namenjenih tajnom dobijanju informacija u prostorijama i tehničkim sredstvima (osim u slučaju kada se ova delatnost obavlja radi zadovoljavanja sopstvenih potreba pravnog lica ili individualnog preduzetnika).

U okviru vrsta djelatnosti koje se razmatraju, donesene su posebne rezolucije Vlade Ruske Federacije kojima se pojašnjava postupak licenciranja. Među njima:

· Uredba Vlade Ruske Federacije br. 45 od 26. januara 2006. godine „O organizaciji licenciranja određenih vrsta djelatnosti“; Uredba Vlade Ruske Federacije od 15. avgusta 2006. br. 504 „O licenciranju aktivnosti za tehnička zaštita povjerljiva informacija";

· Uredba Vlade Ruske Federacije br. 532 od 31. avgusta 2006. „O licenciranju aktivnosti za razvoj i (ili) proizvodnju alata za zaštitu povjerljivih informacija“;

· Uredba Vlade Ruske Federacije od 23. septembra 2002. br. 691 “O odobravanju propisa o licenciranju određenih vrsta aktivnosti u vezi sa šifriranjem (kriptografskim) sredstvima”.

U skladu sa ovim dokumentima, nosioci licence su dužni da godišnje organu za licenciranje ili sertifikacionom centru dostavljaju podatke o obimu obavljenog posla na pojedinim vrstama djelatnosti navedenih u dozvoli. Imaoci licence su odgovorni za kompletnost i kvalitet obavljenog posla, osiguravajući sigurnost državna tajna povjereno im u toku praktičnih aktivnosti.

Za normalno funkcionisanje sistema elektronskog upravljanja dokumentima (EDM) neophodno je razviti procedure za rešavanje mogućih konflikata. Strana u takvim sukobima, pored učesnika u EDI-u i dobavljača, može biti programer softvera.

Pretpostavlja se da ugovor sa razvojnom kompanijom uzima u obzir dostupnost referentnog uzorka softvera, koji može pohraniti samo kompanija provajder ili svi učesnici EDF-a. Za to je potrebno ispunjenje dva osnovna uslova:

mora biti dokumentovano da svaki učesnik u EDI sistemu (uključujući i provajdera) ima instaliran softver koji odgovara referentnom uzorku;

skladištenje referentnih uzoraka je organizovano na način da se isključi mogućnost promjene referentnog uzorka softvera bez znanja strana.

Ovaj način rada može biti omogućen sistemom od nekoliko javnih ključeva.

Danas, kada se savremene informacione tehnologije intenzivno uvode u sve sfere života i delatnosti društva, nacionalna, a kao deo toga i ekonomska bezbednost države počinje direktno da zavisi od obezbeđivanja informacione bezbednosti. Zbog toga, u cilju stvaranja garancija za obezbeđivanje neophodne stabilnosti alata za bezbednost informacija, država preuzima odgovornost za licenciranje delatnosti organizacija koje se bave bezbednošću informacija i sertifikaciju relevantnih tehničkih sredstava.

Trenutni nivo zaštite od vanjskih informacijskih prijetnji u globalu otvorene mreže ne može se smatrati zadovoljavajućim: Rusiji još uvijek nedostaje sveobuhvatna i tehnički ispravna strategija u ovoj oblasti. Kako bi se situacija promijenila, potrebno je odmah razviti i implementirati set mjera u oblasti zakonodavstva i standardizacije alata koji osiguravaju informatičku sigurnost Rusije. Prioritetni zadaci u ovom pravcu uključuju:

· Donošenje posebnog zakona, sličnog "Computer Security Act" u Sjedinjenim Državama, koji nameće odgovornost određenim državnim agencijama za metodološku podršku rada u oblasti informacione bezbednosti;

· razvoj jedinstvenih pristupa obezbjeđivanju sigurnosti za organizacije različitih profila, veličina i oblika vlasništva;

Osigurati pojavu na tržištu dovoljnog broja različitih certificiranih alata za rješavanje problema sigurnosti informacija.

Jedan od problema u oblasti informacione bezbednosti u Rusiji je nedostatak zvaničnih dokumenata sa detaljne preporuke o izgradnji sigurnih informacionih sistema sličnih onima koje su razvili, na primjer, Američki institut za standardnu ​​tehnologiju (SAD) i britanski standard. Iako u UK ne postoje propisi koji zahtijevaju usklađenost državni standardi, oko 60% britanskih firmi i organizacija dobrovoljno koristi razvijeni standard, a ostali namjeravaju implementirati njegove preporuke u bliskoj budućnosti.

Licenciranje i sertifikacija u oblasti sistema informacione bezbednosti mogu smanjiti ovaj problem. Neophodno je stvoriti garancije za korisnika koje su sredstva zaštite informacija koje koristi sposobna pružiti potreban nivo zaštita. Upravo licenciranje može pomoći da se samo visokokvalifikovani stručnjaci iz ove oblasti bave problemom zaštite informacija, a proizvodi koje kreiraju budu na odgovarajućem nivou i moći će se certificirati.

Bez sertifikacije je nemoguće procijeniti da li određeni alat sadrži potencijalno štetne nedokumentirane karakteristike, čije je prisustvo posebno tipično za većinu stranih proizvoda, koje u nekom trenutku mogu dovesti do kvarova sistema, pa čak i do nepovratnih posljedica za njega. Tipičan primjer takvog nedokumentovane karakteristike Ericsson je obećao tokom razvoja telefonske centrale, na osnovu kojih Ministarstvo željeznica Ruske Federacije gradi svoju telefonsku mrežu, mogućnost blokiranja njihovog rada prilikom prijema poziva određenog broj telefona koje firma odbija da imenuje. I ovaj primjer nije jedini.

Proces certificiranja softverskog proizvoda traje otprilike isto vrijeme kao i njegov razvoj i praktički je nemoguć bez izvornog koda programa s komentarima. Istovremeno, mnoge strane firme ne žele da zastupaju izvorni kod svojih softverskih proizvoda u ruske certifikacijske centre. Na primjer, uprkos temeljnom sporazumu Microsoft za sertifikaciju u Rusiji za Windows NT, u kojoj je već identifikovano više od 50 sigurnosnih grešaka, ovaj problem se ne može pomeriti mnogo meseci zbog nedostatka izvornog koda.

Poteškoće s certificiranjem dovode do toga da među proizvodima iste klase najjednostavniji dobivaju certifikat brže od ostalih, zbog čega se korisniku čine pouzdanijim. Dugi rokovi sertifikacije dovode do toga da kompanija za razvoj uspeva da na tržište izbaci novu verziju svog proizvoda, a proces postaje beskonačan.

Teško je sertifikovati tehnička sredstva informacione bezbednosti bez odgovarajućih standarda, čije stvaranje u Rusiji nije najmanje ograničeno nedostatkom finansijskih sredstava. Ovaj problem je rešen ako postoji više firmi zainteresovanih za marketing i nekoliko organizacija zainteresovanih za korišćenje odgovarajućih tehničkih sredstava. Na primjer, rezultat zajedničkih napora takvih organizacija, firmi i FSTEC-a (ranije Državne tehničke komisije (STC)) bio je razvoj Vodiča tehničkog materijala Državnog carinskog komiteta Ruske Federacije „Kompjuterski objekti. Firewall. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama". Dozvolio je da se klasifikuju alati koji u određenoj meri mogu da zaštite korporativne mreže od spoljnih upada.

Dokument pretpostavlja postojanje nekoliko klasa zaštitnih zidova: od najjednostavnijih, koji omogućavaju samo kontrolu toka informacija, do najsloženijih, koji obavljaju potpuno rekodiranje dolaznih informacija, potpuno štiteći korporativnu mrežu od vanjskih utjecaja. Certifikacija usklađenosti već danas specifikacije razvijeno u skladu sa Smjernicama tehnički materijalšta je dozvoljeno aktuelno zakonodavstvo, prošao takav zaštitni zidovi kao što su Sun Screen, SKIPbridge i Pandora. Međutim, njihova certifikacija nije prošla bez problema.

Uzimajući u obzir zahtjeve informacione sigurnosti i svjetsku praksu u oblasti informacione sigurnosti, čini se primjerenim da se Rusija pridruži uspostavljenim sistemima međunarodne standardizacije i sertifikacije informacionih tehnologija, što u praksi znači:

· Usklađivanje nacionalnih i industrijskih standarda sa međunarodnim;

· učešće ruskih predstavnika u međunarodnim sistemima sertifikacije (uključujući testove za sertifikaciju);

· Mogućnost priznavanja međunarodnih sertifikata u Rusiji.

Osim toga, u skladu sa važećim zakonom, svaka organizacija uključena u prikupljanje i obradu ličnih podataka (na primjer, transakcije s plastičnim karticama) mora imati licencu za bavljenje takvim aktivnostima i za to koristiti certificirana sredstva.

FSTEC Rusije (bivša Državna tehnička komisija) je razvio neophodan regulatorni okvir za zaštitu informacija od neovlašćenog pristupa. Razmotrite strukturu glavnih upravljačkih dokumenata.

1. « Zaštita od neovlaštenog pristupa informacijama. Uslovi i definicije"– uspostavlja jedinstven terminološki standard u oblasti zaštite sredstava računarska nauka i automatizovani sistemi od neovlašćenog pristupa informacijama, što je obavezno za upotrebu u svim vrstama dokumentacije.

2. « Koncept zaštite računarske opreme i automatizovanih sistema od neovlašćenog pristupa informacijama"- opisuje osnovne principe na kojima se zasniva problem zaštite informacija od neovlaštenog pristupa i njegov odnos prema zajednički problem sigurnost informacija. Koncept reflektuje sledeća pitanja: definicija neovlašćenog pristupa, osnovni principi zaštite, model uljeza u automatizovanim sistemima, glavne metode neovlašćenog pristupa, glavni pravci zaštite, glavne karakteristike tehničkih sredstava zaštite, klasifikacija automatizovanih sistema, organizacija rada na zaštiti. Ovaj koncept je namenjen kupcima, programerima i korisnicima računarske opreme i automatizovanih sistema, čija je osnovna namena obrada, skladištenje i prenos zaštićenih informacija.

3. „Sredstva zaštite informacija. Zaštita informacija u kasama i automatizovanim kasama. Klasifikacija fiskalnih kasa, automatizovanih sistema blagajne i zahtevi za bezbednost informacija”– utvrđuje klasifikaciju fiskalnih kasa, automatizovanih kasa, informacionih tehnologija i uslove za zaštitu podataka u vezi sa oporezivanjem. U skladu sa ovim dokumentom, uspostavljene su 2 klase kasa, automatizovanih kasa i informacionih tehnologija. Prva klasa uključuje sisteme koji obrađuju informacije o novčanim tokovima u iznosu do 350 minimalnih zarada dnevno, a druga - u iznosu većem od 350 minimalnih zarada.

4. „Kompjuterski objekti. Zaštita od neovlaštenog pristupa informacijama. Indikatori sigurnosti od neovlaštenog pristupa informacijama»- uređuje uslove za zaštitu računarske opreme od neovlašćenog pristupa, primenjene na sistemski softver i operativni sistemi. Postoji sedam klasa sigurnosti koje su podijeljene u četiri grupe. Svaka klasa sadrži listu mehanizama zaštite informacija neophodnih za implementaciju neovlašćenog pristupa.

5. „Automatizovani sistemi. Zaštita od neovlaštenog pristupa informacijama. Klasifikacija automatizovanih sistema i zahtevi za zaštitu informacija"- klasifikuje automatizovane sisteme u zavisnosti od prisustva informacija različitih nivoa poverljivosti, nivoa ovlašćenja subjekata pristupa, načina obrade podataka u devet klasa i propisuje set zahteva za svaku od njih. U zavisnosti od karakteristika obrade informacija u automatizovanim sistemima, časovi su podeljeni u tri grupe.

6. „Kompjuterski objekti. Zaštitni zidovi. Zaštita od neovlaštenog pristupa informacijama. Indikatori sigurnosti od neovlaštenog pristupa informacijama»– deklarira zahtjeve za različite klase zaštitnih zidova. Ukupno postoji pet sigurnosnih klasa zaštitnih zidova. Klasifikacija se vrši u zavisnosti od klase sigurnosti automatizovanih sistema koji je zaštićen zaštitnim zidom.

Na osnovu uputstava i regulatornog okvira FSTEC Rusije, razvoj, sertifikacija i upotreba alata za zaštitu informacija od neovlašćenog pristupa, kao i licenciranje preduzeća za pravo rada u oblasti zaštite informacija na teritoriji Ruske Federacije, provodi se.

Licenciranje aktivnosti za tehničku zaštitu povjerljivih informacija vrši FSTEC Rusije. Da bi stekao licencu, podnosilac zahteva mora ispuniti sledeće uslove i uslove:
  1. prisustvo u osoblju specijalista sa višim stručno obrazovanje u oblasti tehničke zaštite informacija ili višeg ili srednjeg stručnog (tehničkog) obrazovanja i koji su prošli prekvalifikaciju ili usavršavanje iz oblasti tehničke zaštite informacija;
  2. podnosilac zahtjeva ima prostorije za obavljanje licencirane djelatnosti koje ispunjavaju tehničke standarde i zahtjeve za tehničku zaštitu informacija utvrđene regulatornim pravnim aktima Ruske Federacije, a pripadaju mu na pravu vlasništva ili na drugi način. pravni osnov;
  3. dostupnost po bilo kojoj pravnoj osnovi opreme za proizvodnju, ispitivanje i kontrolu i mjerenje koja je prošla metrološku verifikaciju (kalibraciju), označavanje i sertifikaciju u skladu sa zakonodavstvom Ruske Federacije;
  4. upotreba automatizovanih sistema koji obrađuju poverljive informacije, kao i sredstava zaštite tih informacija koji su prošli postupak ocjenjivanja usklađenosti (certificirani i (ili) certificirani prema sigurnosnih zahtjeva informacije) u skladu sa zakonodavstvom Ruske Federacije;
  5. korišćenje programa za elektronske računare i baze podataka namenjenih za obavljanje licencirane delatnosti na osnovu ugovora sa nosiocem prava;
  6. dostupnost regulatornih pravnih akata, regulativnih i metodoloških i metodoloških dokumenata o tehničkoj zaštiti informacija u skladu sa listom koju utvrđuje Federalna služba za tehničku i izvoznu kontrolu

Da bi dobio licencu, podnosilac zahtjeva FSTEC-u podnosi dokumente o kojima je bilo riječi u prethodnom dijelu ovog predavanja. Pored ovih dokumenata, podnosilac zahtjeva mora dostaviti sljedeće:

  1. kopije dokumenata koji potvrđuju kvalifikacije stručnjaka za sigurnost informacija (diplome, sertifikati, sertifikati);
  2. kopije dokumenata koji potvrđuju pravo svojine, pravo privrednog upravljanja ili operativnog upravljanja prostorom namenjenim za obavljanje licenciranih delatnosti, ili kopije ugovora o zakupu ovih prostorija ili njihovo besplatno korišćenje;
  3. kopije potvrda o usklađenosti zaštićenih prostorija sigurnosnih zahtjeva informacije;
  4. kopije tehnički pasoš automatizovani sistem sa prilozima, akt o klasifikaciji automatizovanog sistema prema sigurnosnih zahtjeva informacije, plan rasporeda glavnih i pomoćnih tehničkih sredstava i sistema, sertifikat o usklađenosti automatizovanog sistema sigurnosnih zahtjeva informacije ili sertifikat o usklađenosti automatizovani sistem sigurnosnih zahtjeva informacije, kao i spisak resursa zaštićenih u automatizovanim sistemima sa dokumentovanom potvrdom o stepenu poverljivosti svakog resursa, opisom tehnološki proces obrada informacija u automatiziranom sustavu;
  5. kopije dokumenata koji potvrđuju pravo na programe za elektronske računare i baze podataka koji se koriste za obavljanje licencirane djelatnosti;
  6. informacije o raspoloživosti proizvodne i kontrolno-mjerne opreme, alati za sigurnost informacija i sredstva sigurnosna kontrola informacije potrebne za obavljanje licencirane djelatnosti, sa priloženim kopijama dokumenata o verifikaciji kontrolno-mjerne opreme;
  7. informacije o podzakonskim aktima podnosioca zahtjeva za licencu, regulativnim i metodološkim i metodološkim dokumentima o pitanjima tehničke zaštite informacija

FSTEC provjerava kompletnost dostavljenih dokumenata, potpunost i tačnost informacija navedenih u njima. Ukoliko nedostaju neki podaci (dokumenti), FSTEC o tome obavještava podnosioca zahtjeva u roku od 15 dana. U roku koji ne prelazi 45 dana nakon prijema dokumentacije od podnosioca zahtjeva, FSTEC donosi odluku o izdavanju dozvole. Odluka se donosi odgovarajućim aktom FSTEC-a.

Licenca se izdaje za 5 godina, a nakon isteka ovog roka može se produžiti na zahtjev vlasnika licence.

4.3. Praćenje usklađenosti sa zahtjevima i uslovima licence

Funkciju praćenja usklađenosti nosioca licence sa uslovima i uslovima licenciranja vrši organ za licenciranje, odnosno u slučaju tehničke zaštite povjerljivih informacija – FSTEC. Metoda kontrole je zakazane i vanredne inspekcije koji se sprovode u skladu sa postupkom utvrđenim Saveznim zakonom br. 294 "O zaštiti prava pravnih lica i fizičkih lica preduzetnika u sprovođenju državne kontrole (nadzora) i opštinske kontrole".

Svrha zakazanog inspekcijskog nadzora je da se utvrdi da li imalac licence poštuje uslove i uslove licence u postupku obavljanja poslova tehničke zaštite povjerljivih informacija. U odnosu na jedno pravno lice ili individualnog preduzetnika, može se izvršiti najviše jednom u roku od tri godine. Planirane inspekcije se sprovode u skladu sa godišnjim planom inspekcije, koji je objavljen na službenoj web stranici FSTEC Rusije.

Vlasnik licence se uključuje u zakazani pregled u slučaju isteka tri godine od dana:

Vlasnik licence se obavještava najkasnije tri radna dana prije inspekcije.

Predmet vanrednog inspekcijskog nadzora je poštivanje od strane imaoca licence uslova i uslova za izdavanje dozvole, sprovođenje uputstava za otklanjanje uočenih povreda i sprovođenje mjera za obezbjeđenje sigurnosti države.

Osnova za vanredni inspekcijski nadzor je:

  1. isteka roka za izvršenje prethodno izdatog naloga imaocu licence za otklanjanje utvrđene povrede uslova i uslova licence;
  2. prijem od strane FSTEC Rusije žalbi i prijava građana, pravnih lica, individualnih preduzetnika, informacija od državnih organa, lokalnih samouprava, iz fondova masovni medij o sljedećim činjenicama:
    • pojava opasnosti od štete po bezbednost države;
    • štete po bezbednost države.

Planirani i vanredni inspekcijski nadzori obavljaju se u dokumentarnom ili terenskom obliku. Provjera dokumentacije provjerava dokumentaciju vlasnika licence i vrši se na lokaciji FSTEC-a. Tokom inspekcije na licu mjesta ne provjerava se samo dokumentacija vlasnika licence, već i njena usklađenost sa licencni zahtjevi i uslove.

Trajanje svake inspekcije ne može biti duže od 20 radnih dana. Na osnovu rezultata inspekcijskog nadzora sastavlja se akt u dva primjerka uz koji se prilažu protokoli (zaključci) studija (testiranja) i ispitivanja.

Sumirajući, možemo reći da je proces dobijanja licence za tehničku zaštitu povjerljivih informacija veoma naporan, dugotrajan i, ne manje važno, skup, jer za dobijanje licence moraju biti ispunjeni svi uslovi i uslovi licence. Najduže je obuka specijalista na kursevima usavršavanja. Unatoč činjenici da je broj organizacija koje se bave povjerljivim informacijama prilično velik, ne može svaka od njih priuštiti stručnjake sa visokim stručnim obrazovanjem iz oblasti VBI. Privatni kursevi osvježenja znanja koje je odobrio FSTEC obično traju 72 sata. Ekonomski najskuplji zahtev je sertifikacija objekata informatizacije (automatizovani sistem i bezbedne prostorije) namenjenih za obradu poverljivih informacija. Takođe, postoji problem nabavke kontrolno-mjerne opreme, koja nakon sertifikacije uopšte nije potrebna, osim ako organizacija neće pružati usluge sertifikacije objekata informatizacije. Alternativna opcija je iznajmljivanje takve opreme, ali i to košta. Dakle, trajanje procesa licenciranja može trajati od 2 do 6 mjeseci i podrazumijeva značajne materijalne troškove. Rješenje ovog problema je outsourcing. Outsourcing (od engleskog outsourcing) doslovno "upotreba vanjskih izvora". Outsourcing uključuje prijenos sa kompanije kupca na organizaciju treće strane (ugovarača) određenih funkcija statutarnih aktivnosti, na primjer, tehnička zaštita povjerljivih informacija. Izvođač istovremeno koristi svoj softver, hardver i druga sredstva zaštite, licence, sertifikate i sl., a takođe je odgovoran za rezultat svog rada.

Pošaljite svoj dobar rad u bazu znanja je jednostavno. Koristite obrazac ispod

Dobar posao na stranicu">

Studenti, postdiplomci, mladi naučnici koji koriste bazu znanja u svom studiranju i radu biće vam veoma zahvalni.

Objavljeno na http://www.allbest.ru/

Ministarstvo saobraćaja Ruske Federacije

Federalna agencija za željeznički promet Federalni državni budžet obrazovne ustanove visoko stručno obrazovanje

„Daleki istok Državni univerzitet sredstva komunikacije"

Katedra za građansko, poslovno i saobraćajno pravo

Disciplina: Pravna podrška informacione sigurnosti

Tema: Licenciranje i sertifikacija u oblasti informacione sigurnosti

Završio student

Nepomnyashchaya Natalya Evgenievna

Provjerio: nastavnik katedre:

Železnjakov Anatolij Mihajlovič

Khabarovsk

Uvod

1. Licenciranje u oblasti informacione sigurnosti

1.1 Autoritet za licenciranje - FSTEC Rusije

1.2 Organ za izdavanje dozvola - FSB Rusije

2. Sertifikacija u oblasti informacione sigurnosti

2.1 Organizacijske strukture sistemi sertifikacije

2.2 Procedura sertifikacije

Zaključak

Bibliografija

Uvod

Jedan od problema u oblasti informacione bezbednosti u Rusiji je nedostatak zvaničnih dokumenata sa detaljnim preporukama za izgradnju bezbedne informacioni sistemi slične onima koje su razvili, na primjer, Američki institut za standardnu ​​tehnologiju (SAD) i britanski standard. Iako u Velikoj Britaniji ne postoje propisi koji zahtijevaju implementaciju državnih standarda, oko 60% britanskih firmi i organizacija dobrovoljno koristi razvijeni standard, a ostali namjeravaju implementirati njegove preporuke u bliskoj budućnosti

Licenciranje i sertifikacija u oblasti sistema informacione bezbednosti mogu smanjiti ovaj problem. Neophodno je stvoriti garancije za korisnika da su sredstva zaštite informacija koje koristi sposobna da pruže potreban nivo zaštite. Upravo licenciranje može pomoći da se samo visokokvalifikovani stručnjaci iz ove oblasti bave problemom zaštite informacija, a proizvodi koje kreiraju budu na odgovarajućem nivou i moći će se certificirati.

Bez sertifikacije je nemoguće procijeniti da li određeni alat sadrži potencijalno štetne nedokumentirane karakteristike, čije je prisustvo posebno tipično za većinu stranih proizvoda, koje u nekom trenutku mogu dovesti do kvarova sistema, pa čak i do nepovratnih posljedica za njega. Tipičan primjer takvih nedokumentiranih mogućnosti je kompanija Ericsson, koja razvija telefonske centrale, na osnovu kojih Ministarstvo željeznica Ruske Federacije gradi svoje telefonska mreža, mogućnost blokiranja njihovog rada kada primaju poziv sa određenog broja telefona koji kompanija odbija imenovati. I ovaj primjer nije jedini.

Proces certificiranja softverskog proizvoda traje otprilike isto vrijeme kao i njegov razvoj i praktički je nemoguć bez izvornog koda programa s komentarima. Istovremeno, mnoge strane firme nisu spremne da daju izvorni kod svojih softverskih proizvoda u ruske certifikacijske centre. Na primjer, uprkos principijelnom dogovoru Microsofta da certifikuje Windows NT u Rusiji, u kojem je već identifikovano više od 50 sigurnosnih grešaka, ovo pitanje nije moglo da se pomakne naprijed mnogo mjeseci zbog nedostatka izvornog koda .

Poteškoće s certificiranjem dovode do toga da među proizvodima iste klase najjednostavniji dobivaju certifikat brže od ostalih, zbog čega se korisniku čine pouzdanijim. Dugi rokovi sertifikacije dovode do toga da kompanija za razvoj uspeva da na tržište izbaci novu verziju svog proizvoda, a proces postaje beskonačan.

Teško je sertifikovati tehnička sredstva informacione bezbednosti bez odgovarajućih standarda, čije stvaranje u Rusiji nije najmanje ograničeno nedostatkom finansijskih sredstava. Ovaj problem je rešen ako postoji više firmi zainteresovanih za marketing i nekoliko organizacija zainteresovanih za korišćenje odgovarajućih tehničkih sredstava. Na primjer, rezultat zajedničkih napora takvih organizacija, firmi i FSTEC-a (ranije Državne tehničke komisije (STC)) bio je razvoj Vodiča tehničkog materijala Državnog carinskog komiteta Ruske Federacije „Kompjuterski objekti. Firewall. Zaštita od neovlaštenog pristupa informacijama. Pokazatelji sigurnosti od neovlaštenog pristupa informacijama". Dozvolio je da se klasifikuju alati koji u određenoj meri mogu da zaštite korporativne mreže od spoljnih upada.

Dokument pretpostavlja postojanje nekoliko klasa zaštitnih zidova: od najjednostavnijih, koji omogućavaju samo kontrolu toka informacija, do najsloženijih, koji obavljaju potpuno rekodiranje dolaznih informacija, potpuno štiteći korporativnu mrežu od vanjskih utjecaja. Već danas su zaštitni zidovi kao što su Sun Screen, SKIPbridge i Pandora sertifikovani da ispunjavaju specifikacije razvijene u skladu sa Tehničkim uputstvima, kao što je dozvoljeno važećim zakonom. Međutim, njihova certifikacija nije prošla bez problema.

1. Licenciranje u oblasti informacione sigurnosti

1.1 Licencno tijelo - FSTEC Rusije

Uslovi za licenciranje za podnosioca zahteva za licencu za obavljanje delatnosti razvoja i proizvodnje SZKI (u daljem tekstu: licenca) su:

1. tražilac licence ima najmanje dva specijalista sa višom stručnom spremom iz oblasti tehničke informacione sigurnosti ili višom tehničkom ili srednjom stručnom (tehničkom) obrazovanjem i koji su prošli prekvalifikaciju ili usavršavanje u oblasti razvoja i (ili) proizvodnje informacione bezbednosti. objekti; stručnjak za garanciju zaštite korisnika

2. raspoloživost prostorija za obavljanje licencirane vrste djelatnosti koje ispunjavaju uslove tehničko-tehnološke dokumentacije, nacionalne standarde i metodološke dokumente u OIZ-u i pripadaju podnosiocu zahtjeva za licencu na pravu svojine ili po drugom zakonskom osnovu;

3. prisustvo na pravu vlasništva ili na drugom pravnom osnovu kontrolne i mjerne opreme potrebne za obavljanje licencirane vrste djelatnosti (koja je prošla metrološku verifikaciju (kalibraciju) i označavanje u skladu sa zakonodavstvom Ruske Federacije ), opremu za proizvodnju i ispitivanje;

4. dostupnost programa namijenjenih za obavljanje licencirane vrste djelatnosti (uključujući softverske alate za razvoj SZKI) za elektronske računare i baze podataka u vlasništvu tražioca licence na pravu svojine ili po drugom zakonskom osnovu;

5. dostupnost licenci koje pripadaju podnosiocu zahtjeva po osnovu vlasništva ili po drugom zakonskom osnovu, tehničko-tehnološke dokumentacije, dokumentacije koja sadrži nacionalne standarde i metodološke dokumentacije neophodne za obavljanje licencirane vrste djelatnosti u skladu sa listom koju je odobrio FSTEC Rusije;

6. prisustvo sistema kontrole proizvodnje, uključujući pravila i procedure za provjeru i vrednovanje sistema za razvoj SZKI, uzimajući u obzir promjene u dizajnu i projektnu dokumentaciju za proizvode u razvoju

7. prisustvo sistema kontrole proizvodnje, uključujući pravila i procedure za provjeru i vrednovanje proizvodnog sistema SZKI, procjenu kvaliteta proizvoda i nepromjenjivost postaviti parametre, računovodstvo izvršenih promjena u tehničkoj i projektnoj dokumentaciji za proizvedene proizvode, računovodstvo gotovih proizvoda Kiyaev V., Granichin O.// Sigurnost informacionih sistema// Nacionalni otvoreni univerzitet "INTUIT" * 2016 //str 105-106

1.2 Licencno tijelo - FSB Rusije

Uslovi za licenciranje za podnosioca zahteva su:

1 Lica u državi kandidata za licencu za glavni posao prema kadrovskoj tabeli sledećeg kvalifikovanog osoblja:

2. rukovodilac i (ili) lice ovlašćeno za upravljanje radom na licenciranoj vrsti delatnosti, koji imaju visoko stručno obrazovanje u oblasti informacione bezbednosti u skladu sa "Sve-ruskim klasifikatorom specijalnosti" i (ili) da su prošli prekvalifikaciju u jednoj od specijalnosti u ovom smeru (standardni period je preko 500 sati u učionici), kao i da imaju najmanje 5 godina iskustva u oblasti poslova koji se obavljaju za licenciranu vrstu delatnosti;

3. inženjerski i tehnički radnici (najmanje dvije osobe) koji imaju visoko stručno obrazovanje u oblasti informacione sigurnosti u skladu sa "Sve ruskim klasifikatorom specijalnosti" i (ili) su prošli prekvalifikaciju u ovoj specijalnosti (standardni period je preko 100 sati u učionici);

4. raspoloživost prostorija za obavljanje licencirane vrste djelatnosti koje ispunjavaju uslove tehničko-tehnološke dokumentacije, nacionalne standarde i metodološke dokumente iz oblasti GI i pripadaju podnosiocu zahtjeva za licencu na pravu svojine ili po drugom pravnom osnovu. ;

5. podnosilac zahtjeva za licencu, na pravu svojine ili po drugom pravnom osnovu, posjeduje kontrolno-mjernu opremu (koja je prošla metrološku verifikaciju (baždarenje) i označavanje u skladu sa zakonodavstvom Ruske Federacije), opremu za proizvodnju, ispitivanje i druge objekte neophodne za obavljanje licencirane vrste djelatnosti;

6. dostupnost programa namenjenih za obavljanje licencirane vrste delatnosti (uključujući softverske alate za razvoj SZKI) za elektronske računare i baze podataka u vlasništvu tražioca licence na pravu svojine ili po drugom zakonskom osnovu;

7. Dostupnost alata za obradu informacija sertifikovanih za zahteve bezbednosti informacija koji se koriste za razvoj i proizvodnju SCCI, u skladu sa zahtevima za zaštitu informacija;

8. prisustvo sistema kontrole proizvodnje, uključujući pravila i procedure za provjeru i vrednovanje sistema za razvoj SZKI, uzimajući u obzir izmjene u projektnoj i projektnoj dokumentaciji za proizvode koji se razvijaju

9. prisustvo sistema kontrole proizvodnje, uključujući pravila i postupke za provjeru i vrednovanje proizvodnog sistema SZKI, ocjenjivanje kvaliteta proizvoda i nepromjenjivost utvrđenih parametara, uračunavanje promjena u tehničkoj i projektnoj dokumentaciji za proizvedene proizvodi, računovodstvo gotovih proizvoda Snytikov A.A. Licenciranje i certificiranje u oblasti informacione sigurnosti.-M: Helios ARV, 2012 //pp 223-224

2. Certifikacija sigurnosti informacija

2.1 Organizaciona struktura sistema sertifikacije

Organizacionu strukturu sistema sertifikacije čine:

1. Državna tehnička komisija Rusije (savezno telo za sertifikaciju alata za bezbednost informacija);

2.centralni organ sistema sertifikacije informacione bezbednosti;

3. sertifikaciona tijela za informacionu sigurnost;

4. centri za ispitivanje (laboratorije);

5. podnosioci zahtjeva (programeri, proizvođači, dobavljači, potrošači alata za sigurnost informacija).

2Državna tehnička komisija Rusije, u okviru svoje nadležnosti, obavlja sljedeće funkcije:

1.kreira sistem sertifikacije alata za informatičku bezbednost i utvrđuje pravila za sertifikaciju određenih vrsta alata za bezbednost informacija u ovom sistemu;

2.organizuje funkcionisanje sistema sertifikacije alata za bezbednost informacija;

3. utvrđuje listu alata za sigurnost informacija obavezna certifikacija u ovom sistemu;

4. utvrđuje pravila za akreditaciju i izdavanje licenci za poslove sertifikacije;

5.organizuje i finansira izradu regulatornih i metodoloških dokumenata sistema sertifikacije informacione bezbednosti;

6. utvrđuje centralni organ sistema sertifikacije alata za bezbednost informacija (po potrebi) ili obavlja funkcije ovog tela;

7. odobrava regulatorne dokumente o informacionoj bezbjednosti, radi usaglašenosti sa kojima se vrši sertifikacija alata informacione sigurnosti u sistemu, i metodološke dokumente za sertifikacione testove;

8. akredituje sertifikacione organe i ispitne centre (laboratorije), izdaje im licence za obavljanje određenih vrsta poslova;

9.vodi Državni registar učesnici i objekti sertifikacije;

10. vrši državnu kontrolu i nadzor i utvrđuje postupak inspekcijskog nadzora nad poštovanjem pravila sertifikacije i sertifikovanih alata za bezbednost informacija;

11. razmatra žalbe o pitanjima sertifikacije;

12. podnese sistem sertifikacije i znak usaglašenosti za državnu registraciju Državnom standardu Rusije;

13.organizuje periodično objavljivanje informacija o sertifikaciji;

14.u interakciji sa relevantnim ovlaštena tijela drugih zemalja i međunarodnih organizacija o pitanjima sertifikacije, odlučuje o priznavanju međunarodnih i stranih sertifikata;

15. organizuje obuku i certificiranje stručnjaka - revizora;

16. izdaje sertifikate i dozvole za korišćenje znaka usaglašenosti;

17. suspenduje ili opoziva izdate sertifikate.

2.2 Procedura sertifikacije

Procedura certifikacije uključuje sljedeće korake:

podnošenje i razmatranje zahtjeva za sertifikaciju alata za sigurnost informacija; testiranje certificiranih alata za sigurnost informacija i certificiranje njihove proizvodnje;

ispitivanje rezultata ispitivanja, izvršenje, registracija i izdavanje sertifikata i licence za pravo korišćenja znaka usaglašenosti;

sprovođenje državne kontrole i nadzora, inspekcijski nadzor nad poštovanjem pravila obavezne sertifikacije i sertifikovanih alata za bezbednost informacija.

obavještavanje o rezultatima certificiranja alata za sigurnost informacija;

razmatranje žalbi.

Podnošenje i razmatranje zahtjeva za sertifikaciju alata za sigurnost informacija.

Da bi dobio certifikat, podnositelj zahtjeva šalje zahtjev (Dodatak 1) Državnoj tehničkoj komisiji Rusije na ispitivanje, navodeći shemu certificiranja, standarde i druge regulatorne dokumente za usklađenost sa zahtjevima za koje se certifikaciju treba izvršiti.

Državna tehnička komisija Rusije, u roku od mjesec dana od prijema zahtjeva, šalje podnosiocu zahtjeva, sertifikacionom tijelu i ispitnom centru (laboratoriji) određenom za certifikaciju, odluku o sprovođenju certifikacije (Prilog 2). Na zahtjev podnosioca zahtjeva može se promijeniti sertifikaciono tijelo i ispitni centar (laboratorija).

Nakon prijema odluke, podnosilac zahtjeva je dužan da sertifikacionom tijelu i ispitnom centru (laboratoriji) dostavi alate za sigurnost informacija u skladu sa specifikacijama za ovaj alat, kao i komplet tehničke i operativne dokumentacije, u skladu sa regulativom. dokumenti za ESKD, ESPD za certificirani alat za sigurnost informacija.

Testiranje certificiranih alata za sigurnost informacija u ispitnim centrima (laboratorijima).

Ispitivanja certificiranih alata za sigurnost informacija provode se na uzorcima čiji dizajn, sastav i tehnologija proizvodnje moraju biti isti kao oni koji se isporučuju potrošaču, kupcu prema programima i metodama ispitivanja dogovorenim sa podnosiocem zahtjeva i ovlaštenim sertifikacijskim tijelom. . Tehničko-operativna dokumentacija za serijska sredstva informacione sigurnosti mora imati slovo ne manje od "O1" (prema ESKD).

Broj uzoraka, postupak njihovog odabira i identifikacije moraju biti u skladu sa zahtjevima regulatornih i metodoloških dokumenata za ovu vrstu sredstva zaštite informacija.

Ako u trenutku sertifikacije ne postoje ispitni centri (laboratorije), sertifikaciono tijelo utvrđuje mogućnost, mjesto i uslove za sprovođenje ispitivanja kojima se obezbjeđuje objektivnost njihovih rezultata.

Uslovi ispitivanja utvrđuju se ugovorom između podnosioca zahtjeva i ispitnog centra (laboratorije).

Na zahtjev podnosioca zahtjeva, njegovim predstavnicima treba omogućiti da se upoznaju sa uslovima skladištenja i testiranja uzoraka alata za sigurnost informacija u ispitnom centru (laboratoriji). Kiyaev V., Granichin O.// Sigurnost informacionih sistema// Nacionalni otvoreni univerzitet "INTUIT" * 2016 //pp 105-106

Rezultati ispitivanja se dokumentuju u protokolima i zaključcima, koje ispitni centar (laboratorija) šalje sertifikacionom tijelu, au kopiji - podnosiocu zahtjeva.

Prilikom izmjena u dizajnu (sastavu) alata za informatičku sigurnost ili tehnologiji njihove proizvodnje, koje mogu uticati na karakteristike alata za informatičku sigurnost, podnosilac zahtjeva (programer, proizvođač, dobavljač) o tome obavještava sertifikaciono tijelo. Potonji odlučuje o potrebi za novim testovima ovih alata za sigurnost informacija.

Certifikacija uvezenih alata za sigurnost informacija provodi se po istim pravilima kao i domaći.

Zaključak

Dakle, radi se o postupku ocjenjivanja usklađenosti, kojim organizacija neovisna od proizvođača (prodavca) i potrošača (kupca) pismeno potvrđuje da su proizvodi usklađeni sa utvrđenim zahtjevima. Ako govorimo o sertifikaciji u vezi sa alatima za bezbednost informacija, onda je to aktivnost kojom se potvrđuje njihova usklađenost sa zahtevima tehničkih propisa, nacionalnih standarda ili drugih regulatornih dokumenata o bezbednosti informacija.

Sam sistem sertifikacije predstavlja FSTEC Rusije, koji ima jurisdikciju nad akreditovanim tijelima za sertifikaciju sigurnosti informacija i laboratorijama za ispitivanje.

Cjelokupni sistem sertifikacije obezbjeđuje postizanje, prije svega, nacionalne sigurnosti u oblasti informatizacije. Ništa manje važno je formiranje i sprovođenje jedinstvene naučne, tehničke i industrijske politike u oblasti informatizacije. Kao i promoviranje formiranja tržišta sigurnih informacionih tehnologija i sredstava njihove podrške, regulacije i kontrole razvoja, kao i naknadne proizvodnje alata za sigurnost informacija, pomoć potrošačima u kompetentnom izboru alata za informatičku sigurnost, zaštitu potrošača iz loše vjere izvođača (prodavca, proizvođača), potvrda o pokazateljima kvaliteta proizvoda.

Licenciranje - aktivnosti vezane za izdavanje licenci, ponovno izdavanje dokumenata koji potvrđuju dostupnost licenci, suspenzija i obnavljanje licenci, ukidanje licenci i kontrola organa za licenciranje nad poštovanjem od strane nosilaca licenci u realizaciji licenciranih aktivnosti sa relevantnim zahtjevima i uslovima licence .

Licenca - posebna dozvola za obavljanje određene vrste djelatnosti uz obavezno poštovanje uslova i uslova licenciranja, koju izdaje organ za licenciranje pravnom licu ili individualnom preduzetniku.

Aktivnosti licenciranja u oblasti informacione sigurnosti provode FSB i FSTEC Rusije. Razmotrite licencirane aktivnosti u oblasti zaštite povjerljivih informacija.

FSB Rusije:

1. Razvoj i (ili) proizvodnja sredstava za zaštitu povjerljivih informacija (u okviru nadležnosti FSB-a)

2. Razvoj, proizvodnja, prodaja i kupovina radi prodaje posebnih tehničkih sredstava namenjenih za tajno dobijanje informacija od strane individualnih preduzetnika i pravnih lica koja se bave preduzetničkom delatnošću.

3. Aktivnost identificiranja elektronskih uređaja, namijenjen za tajno pribavljanje informacija, u prostorijama i tehničkim sredstvima (osim u slučaju da se navedena djelatnost obavlja radi podmirivanja vlastitih potreba pravnog lica ili individualnog preduzetnika)

4. Aktivnosti na distribuciji enkripcijskih (kriptografskih) alata

5. Aktivnosti održavanja enkripcijskih (kriptografskih) sredstava

6. Pružanje usluga u oblasti šifriranja informacija

7. Razvoj, proizvodnja enkripcijskih (kriptografskih) sredstava zaštićenih korištenjem enkripcijskih (kriptografskih) sredstava informacionih sistema, telekomunikacionih sistema.

Bibliografija

1 . Kiyaev V., Granchin O. // Sigurnost informacionih sistema// Nacionalni otvoreni univerzitet "INTUIT" * 2016 //stranica 105-106

2. Snytikov A.A. Licenciranje i certificiranje u oblasti informacione sigurnosti.-M: Helios ARV, 2012 //pp 223-224

3. Sistem sertifikacije za kriptografsku zaštitu informacija: br. ROSS RU.0001.030001 od 15.11.2012.

4. Radovi A. Kirina A. Licenciranje i sertifikacija u oblasti informacione bezbednosti

5. Termini i definicije u oblasti informacione bezbednosti, Moskva 2011

Hostirano na Allbest.ru

...

Slični dokumenti

    Osnovni principi koje informaciona bezbednost treba da obezbedi, njen regulatorni okvir. Državni organi RF, kontrolne aktivnosti u oblasti informacione bezbednosti, regulatorna dokumenta u ovoj oblasti. Načini zaštite informacija.

    sažetak, dodan 24.09.2014

    Sredstva i metode za rješavanje različitih problema zaštite informacija, sprječavanja curenja, osiguranja sigurnosti zaštićenih informacija. Tehnička (hardverska), softverska, organizaciona, mješovita hardverska i softverska sredstva zaštite informacija.

    sažetak, dodan 22.05.2010

    Regulatorna podrška sigurnosti informacija u Ruskoj Federaciji. Pravni režim informisanja. Tijela koja osiguravaju sigurnost informacija Ruske Federacije. Usluge koje organizuju zaštitu informacija na nivou preduzeća. Standardi sigurnosti informacija.

    prezentacija, dodano 19.01.2014

    Glavne metode neovlaštenog pristupa informacijama u kompjuterski sistemi i zaštitu od toga. Međunarodni i domaći organizacioni, pravni i regulatorni akti za osiguranje informacione sigurnosti procesa obrade informacija.

    sažetak, dodan 04.09.2015

    Informacija kao najvažniji dio savremenog komunikacijskog sistema. Pravna regulativa u oblasti informacione bezbednosti. Normativno-pravni dokumenti koji regulišu zaštitu informacija. Organizacioni i pravni oblici zaštite državne tajne.

    kontrolni rad, dodano 03.11.2009

    Preporuke za razvoj malog biznisa. Zaštita imovinskih prava, razvoj tržišnih institucija. Porezi i njihova administracija. Sistem licenciranja i izdavanja dozvola. Provjere, novčane kazne i kazne. Pristup informacijama i otvorenost države.

    sažetak, dodan 31.05.2009

    Svrhe licenciranja u oblasti zaštite okruženje i korišćenje prirodnih resursa. Spisak vrsta dozvola - dokumenata koji daju pravo korišćenja jedne vrste prirodnog dobra u određenom mjestu i pod određenim uslovima.

    test, dodano 19.12.2012

    Licenciranje kao građanskopravna institucija. Vladin program privatizacija državnih i opštinskih preduzeća u Rusiji. Funkcije savezna služba o nadzoru u oblasti transporta. Licenciranje preduzetničku aktivnost.

    Pojam informacija, informacioni resursi, njihovo mjesto u savremenom pravu. Znakovi ograničenih informacija. Pravni režim zaštite državne, službene, profesionalne tajne; obezbeđivanje nedostupnosti trećim licima.

    sažetak, dodan 13.12.2013

    Licenciranje kao oblik državna regulativa. Postupak za licenciranje djelatnosti banaka i nebankarskih kreditno-finansijskih organizacija. Djelatnosti licenciranja za projektovanje i izgradnju zgrada i inženjerska istraživanja.

Licenciranje djelatnosti tehničke zaštite povjerljivih informacija

Iza poslednjih godina pravni okvir u oblasti informacione bezbednosti formirao je skupe, zbunjujuće, kontradiktorne mehanizme koji ne uzimaju u obzir ni posebnosti obrade poverljivih informacija u različitim oblastima delatnosti, ni sposobnost operatera da ispoštuju utvrđene zahteve. Osim toga, zahtjevi FSTEC Rusije za operatere informacionih sistema koji obrađuju povjerljive informacije, uključujući lične podatke, uključuju takav mehanizam državne regulative kao što su aktivnosti licenciranja za tehničku zaštitu povjerljivih informacija, za čiju implementaciju većina operatera radi. nemaju dovoljno materijalnih i radnih resursa. Ovo se posebno odnosi na budžetske organizacije u oblasti obrazovanja, zdravstvene zaštite, stambeno-komunalnih usluga. Pravni problemi su nastali zbog nedostatka zakona u saveznom zakonodavstvu o zaštiti povjerljivih informacija, na primjer, službene tajne, profesionalne tajne, nejasnoća odredbi, kao i ponovljenih izmjena i dopuna Saveznog zakona br. 152 „O ličnim podacima “, drugi regulatorni pravni akti. Istovremeno, federalni zakoni zahtijevaju dalju specifikaciju i pojašnjenje uredbama Vlade Ruske Federacije i metodološkim dokumentima FSTEC-a i FSB-a Rusije.

Vlada Ruske Federacije je 3. februara 2012. godine usvojila Uredbu br. 79 „O aktivnostima licenciranja za tehničku zaštitu povjerljivih informacija“ uz odobrenje „Pravilnika o aktivnostima licenciranja za tehničku zaštitu povjerljivih informacija“ (u daljem tekstu navedeno kao Uredba) i ukidanje ranije postojeće rezolucije od 15. avgusta 2006. br. 504, još jednom postavlja pitanje šta je novo u navedenoj Uredbi i da li je FSTEC-u Rusije potrebna licenca ako organizacija štiti povjerljive podatke. informacije “za svoje potrebe”, a ne pruža usluge za novac?

U skladu sa stavom 1. Pravilnika, utvrđuje postupak licenciranja aktivnosti za tehničku zaštitu povjerljivih informacija (koje ne sadrže informacije koje predstavljaju državnu tajnu, ali su zaštićene u skladu sa zakonodavstvom Ruske Federacije) koje obavljaju pravna lica i individualni preduzetnici.

I odmah se postavlja pitanje sa terminom "povjerljive informacije", koji je dat u Pravilniku i koristi se u dokumentima FSTEC Rusije, ali ga nema u saveznom zakonodavstvu. Savezni zakon br. 149 od 27.07. 2006" O informacijama informacione tehnologije i o zaštiti informacija” u stavu 7 čl. 2 daje samo definiciju povjerljivosti informacija, kao obavezne za lice koje ima pristup određene informacije, zahtjev da se takve informacije ne prenose trećim licima bez pristanka njihovog vlasnika. Povjerljivost na latinskom znači "povjerenje" (odnosno, prenošenjem takvih informacija nadamo se njihovoj sigurnosti i neproliferaciji, jer njihovo otkrivanje može nanijeti određenu štetu stranama). Napominjemo da je nedostatak jasnoće pojedinih pojmova, kao i ponekad nerazumne promjene u definicijama i konceptima informaciono zakonodavstvo ne poboljšavajte zakonska regulativa in informatička sfera. Istovremeno, FSTEC Rusije nastavlja da koristi termin "povjerljive informacije", koji su zakonodavci već napustili.

Prema zakonodavstvu Ruske Federacije, obavezne karakteristike informacija s ograničenim pristupom trebaju biti:

  • informacije imaju stvarnu ili potencijalnu vrijednost za vlasnika zbog njihove nepoznatosti trećim licima. Takve osobe mogu biti državna, pravna ili pojedinci;
  • nema informacija slobodan pristup legalno. Mogućnost čuvanja nepoznatog trećim licima utvrđena je saveznim zakonom;
  • vlasnik informacija preduzima mere da ih zaštiti.

Predsjednik Ruske Federacije je 6. marta 1997. godine izdao dekret br. 188, kojim je odobrena "Lista povjerljivih informacija", prema kojoj su sljedeće informacije klasifikovane kao povjerljive informacije:

  • o činjenicama, događajima i okolnostima privatnost građanin, koji omogućava identifikaciju njegove ličnosti (lični podaci), sa izuzetkom informacija koje se šire u medijima u slučajevima utvrđenim saveznim zakonima;
  • predstavlja tajnu istrage i sudskog postupka;
  • pristup kojima je ograničen od strane javnih vlasti u skladu sa Građanskim zakonikom Ruske Federacije i saveznim zakonima ( službena tajna);
  • povezan sa profesionalna aktivnost, pristup kojem je ograničen u skladu sa Ustavom Ruske Federacije i saveznim zakonima (medicinski, javnobilježnički, advokatsko-klijentski, dopisni, telefonski razgovori, poštanske pošiljke, telegrafske ili druge poruke, itd.);
  • u vezi s komercijalnim aktivnostima, pristup kojima je ograničen u skladu sa Građanskim zakonikom Ruske Federacije i saveznim zakonima (komercijalna tajna);
  • o suštini pronalaska, korisnog modela ili industrijskog dizajna prije službenog objavljivanja podataka o njima.

Nova Uredba također pojašnjava pojam „tehnička zaštita povjerljivih informacija“ (u daljem tekstu TKKI), što u skladu sa tačkom 2. Uredbe znači:

Izvođenje radova i (ili) pružanje usluga za zaštitu od neovlaštenog pristupa, od curenja kroz tehnički kanali, kao i od posebnih uticaja na takve informacije u cilju njihovog uništenja, izobličenja ili blokiranja pristupa njima.

Dakle mi pričamo ili na obavljanju poslova na TZKI, ili na pružanju usluga na TZKI, ili na zajedničkim aktivnostima.

Prilikom obavljanja poslova tehničke zaštite povjerljivih informacija Sljedeće vrste radova i usluga podliježu licenciranju:

  • kontrola zaštite povjerljivih informacija od curenja tehničkim kanalima u:
- sredstva i sistemi informatizacije;

Tehnička sredstva (sistemi) koja ne obrađuju povjerljivo

informacije, ali smještene u prostorijama u kojima se obrađuju;

Prostorije sa sredstvima (sistemima) koje treba zaštititi;

Prostorije namijenjene za vođenje povjerljivih pregovora (u daljem tekstu: zaštićene prostorije);

  • kontrolu sigurnosti povjerljivih informacija od neovlaštenog pristupa i njihove izmjene u alatima i sistemima informatizacije;
  • certifikacijski testovi za usklađenost sa zahtjevima informacione sigurnosti proizvoda koji se koriste za zaštitu povjerljivih informacija (tehnička sredstva za zaštitu informacija, sigurna tehnička sredstva za obradu informacija, tehnička sredstva za praćenje efikasnosti mjera zaštite informacija, softver (softver i hardver) sredstva zaštite informacije (u daljem tekstu IPS), zaštićena softverska (softverska i hardverska) sredstva za obradu informacija, softverska (softverska i hardverska) sredstva za kontrolu sigurnosti informacija);
  • certifikacijski testovi i certificiranje za usklađenost sa zahtjevima sigurnosti informacija:

Zaštićene prostorije;

  • siguran dizajn:
- sredstva i sistemi informatizacije;

Prostorije sa sredstvima (sistemima) informatizacije koje su predmet zaštite;

Zaštićene prostorije;

  • instalacija, instalacija, testiranje, popravka alata za informatičku sigurnost (tehnički alati za sigurnost informacija, zaštićena tehnička sredstva za obradu informacija, tehnička sredstva za praćenje efikasnosti mjera zaštite informacija, softver (softver i hardver), alati za zaštitu informacija, zaštićeni softver (softver i hardver) sredstva za obradu informacija, softverska (softverska i hardverska) sredstva kontrole sigurnosti informacija).

Istovremeno, rad objekta informacione sigurnosti, za razliku od rada sredstava kriptografska zaštita, gdje je organ za licenciranje FSB Rusije, ne primjenjuje se na licenciranu vrstu djelatnosti. Ova pozicija FSTEC Rusije postavlja pitanja. Zašto su licencirane samo prve faze u kreiranju sistema zaštite - projektovanje sistema zaštite i ugradnja zaštitne opreme? Zašto svakodnevni rad stručnjaka i službi za informacionu bezbednost na radu i kontroli efektivnosti sistema informacione bezbednosti ne podleže licenciranju? Uostalom, to nije ništa manje važno od stvaranja sistema zaštite, jer su zadaci licenciranja određenih vrsta djelatnosti sprječavanje, otkrivanje i suzbijanje prekršaja od strane pravnog lica, njegovog rukovodioca i dr. zvaničnici zahtjevi, koji su utvrđeni Saveznim zakonom od 4.5.2011. br. 99-FZ "O licenciranju određenih vrsta djelatnosti", drugi savezni zakoni i drugi regulatorni pravni akti Ruske Federacije usvojeni u skladu s njima.

Na osnovu stava 1. čl. 49 Građanskog zakonika Ruske Federacije, pravno lice može se baviti određenim vrstama djelatnosti, čija je lista određena zakonom, samo na osnovu posebna dozvola(licence). Vrste djelatnosti za koje je potrebno dobiti licencu navedene su u Federalnom zakonu od 4. maja 2011. N 99-FZ "O licenciranju određenih vrsta djelatnosti", klauzula 5 čl. Od kojih 12 uključuje ove vrste i aktivnosti na TKRI.

Koncept "usluge" podrazumijeva određenu vrstu ugovora (Poglavlje 39, članovi 779-783 Građanskog zakonika Ruske Federacije), odnosno multilateralnu transakciju u kojoj mora postojati druga strana (klauzula 1 člana 154. Građanski zakonik Ruske Federacije). Ali pojam "rad" nije definiran u zakonu i može se odrediti samo na osnovu mnogih značenja na ruskom: "zanimanje, rad, aktivnost".

Dakle, iz gornje formulacije možemo zaključiti da djelatnosti TZKI podliježu licenciranju kako za treća lica („usluge”) tako i za vlastite potrebe („radovi”).

Shodno tome, ako organizacija, u okviru zaštite internih povjerljivih informacija, obavlja poslove na njihovoj tehničkoj zaštiti, dužna je pribaviti odgovarajuću licencu. Na primjer, u vezi sa zaštitom ličnih podataka, operater nema „sopstvene potrebe“ za njihovom zaštitom i ne može postojati po zakonu. Jedina svrha Saveznog zakona br. 152 "O ličnim podacima" je da osigura zaštitu prava i sloboda osobe i građanina u obradi njegovih ličnih podataka. Zakon ne navodi druge ciljeve (uključujući zadovoljenje potreba operatera). Osim toga, Federalni zakon 99-FZ „O licenciranju određenih vrsta djelatnosti“, licencirane vrste djelatnosti uključuju vrste aktivnosti čija provedba može uzrokovati štetu pravima, legitimnim interesima i zdravlju građana. Zakon ne pravi razliku između interesa subjekta ličnih podataka (zaposlenog) i subjekta ličnih podataka (trećeg lica) o ustavnom pravu građanina na ličnu tajnu. Zakonodavac (kroz instituciju licenciranja) štiti bilo koji subjekt ličnih podataka od posljedica nekvalitetnog obavljanja poslova na TZKI.

Administrativni propisi FSTEC Rusije za izvršenje državna funkcija o poslovima licenciranja za TZKI (u daljem tekstu: Administrativni propisi), odobren naredbom od 28.08.07. №181 sa najnovije promjene od 30. septembra 2011. godine, u skladu sa Naredbom br. 515, utvrđuju se uslovi i redoslijed radnji (administrativnih postupaka) FSTEC Rusije u vršenju ovlaštenja za licenciranje djelatnosti prema TZKI. Licenciranje podliježe djelatnostima TZKI koje obavljaju pravna lica i samostalni poduzetnici.

Analiza položaja upravnim propisima pokazuje da procedura za dobijanje licence za TZKI oduzima mnogo vremena, truda i novca. Za dobijanje dozvole za obavljanje djelatnosti TZKI potrebno je potvrditi mogućnost ispunjavanja uslova i uslova za licencu utvrđenih Pravilnikom.

Uslovi za licenciranje za podnosioca zahtjeva za licencu za obavljanje djelatnosti prema TZKI su (tačka 5. Pravilnika):

a) podnosilac zahtjeva ima pravno lice - specijaliste koji su u sastavu podnosioca zahtjeva za licencu, koji imaju visoko stručno obrazovanje iz oblasti tehničke informacione sigurnosti ili više tehničko ili srednje stručno (tehničko) obrazovanje i koji su prošli prekvalifikaciju ili napredovanje obuka iz tehničke informacione sigurnosti.

b) podnosilac zahtjeva za licencu (imalac licence) ima prostorije za obavljanje licencirane djelatnosti koje ispunjavaju tehničke standarde i zahtjeve za tehničku zaštitu informacija utvrđenih regulatornim pravnim aktima Ruske Federacije i pripadaju mu na pravu vlasništva ili na drugom pravnom osnovu;

c) prisustvo, po bilo kojoj pravnoj osnovi, opreme za proizvodnju, ispitivanje i kontrolu i mjerenje koja je prošla metrološku verifikaciju (kalibraciju), označavanje i sertifikaciju u skladu sa zakonodavstvom Ruske Federacije;

d) korišćenje automatizovanih sistema koji obrađuju poverljive informacije, kao i sredstava za zaštitu tih informacija koje su prošle proceduru ocjenjivanja usklađenosti (certificirane i (ili) certificirane prema zahtjevima sigurnosti informacija) u skladu sa zakonodavstvom Ruske Federacije;

e) korišćenje programa za elektronske računare i baze podataka namenjenih za obavljanje licencirane delatnosti na osnovu ugovora sa njihovim nosiocem prava;

f) dostupnost regulatornih pravnih akata, regulatornih i metodoloških i metodoloških dokumenata o pitanjima tehničke zaštite informacija u skladu sa listom koju je utvrdio FSTEC Rusije.

Kao što vidite, da bi ispunila gore navedene zahtjeve, organizacija mora imati najmanje 2 specijalista, koji će u nekim slučajevima (u nedostatku specijalizovanog visokog obrazovanja) zahtijevati njihovu obuku na kursevima napredne obuke u nastavni planovi i programi dogovoreno sa FSTEC Rusije u iznosu od najmanje 72 sata. Osim toga, bit će potrebni regulatorni dokumenti, uključujući ograničen pristup, kao i dostupnost po bilo kom pravnom osnovu (u vlasništvu ili u zakupu na period ne kraći od trajanja licence) opreme za proizvodnju, ispitivanje i kontrolu i mere koja je prošla metrološku verifikaciju (kalibraciju), obeležavanje i sertifikaciju u skladu sa zakonodavstvo Ruske Federacije. Pored navedenog, biće potrebno izvršiti projektovanje, izradu i sertifikaciju objekata informatizacije (automatizovani sistem i bezbedne prostorije) namenjenih za obradu poverljivih informacija. Ovo postavlja problem nabavke, po bilo kom zakonskom osnovu, kontrolno-mjerne opreme koja korisniku licence neće biti potrebna za pružanje usluga za TZKI. Štaviše, većina ovih zahtjeva je prilično skupa u ekonomskom smislu, prvenstveno za budžetske organizacije u oblasti obrazovanja, zdravstvene zaštite, stambeno-komunalnih usluga.

Obavljanje državne funkcije licenciranja djelatnosti za TZKI u skladu sa stavovima 12-14 Pravilnika uključuje sljedeće administrativne postupke (slika 1):

  • informisanje i savjetovanje o postupku obavljanja državne funkcije;
  • razmatranje zahtjeva za izdavanje licence;
  • provjeru mogućnosti ispunjavanja zahtjeva i uslova licence od strane podnosioca zahtjeva;
  • donošenje odluke o davanju licence;
  • izdavanje dokumenta kojim se potvrđuje postojanje licence;
  • izdavanje duplikata i kopija dokumenta kojim se potvrđuje postojanje licence;
  • obnavljanje licence;
  • ponovno izdavanje dokumenta kojim se potvrđuje postojanje licence;
  • kontrolu poštivanja uslova i uslova licence od strane nosioca licence;
  • suspenzija, obnavljanje licence i ukidanje licence;
  • vođenje registra licenci;
  • davanje podataka iz registra licenci.

Službenik FSTEC Rusije donosi odluku o izdavanju ili odbijanju izdavanja licence u roku koji ne prelazi 45 dana od dana prijema zahtjeva za licencu i priloženih dokumenata (klauzula 14.1 Pravilnika).

Razlozi za odbijanje izdavanja dozvole su (tačka 14.3 Pravilnika):

prisustvo lažnih ili iskrivljenih informacija u dokumentima koje podnosi podnosilac zahteva za licencu;

neusaglašenost podnosioca zahteva za licencu, objekata koji su u njegovom vlasništvu ili u njegovoj upotrebi sa zahtevima i uslovima licence.

Dozvola za obavljanje poslova tehničke zaštite povjerljivih informacija daje se na period od 5 godina (tačka 14.4 Pravilnika). Istovremeno, od 30. januara 2011. promijenjen je iznos državnih naknada: za izdavanje licence - 2600 rubalja i za produženje licence - 200 rubalja.

Kao što se vidi iz šeme i procedura (slika 1), licenciranje TZKI vrši centralna kancelarija FSTEC Rusije uz učešće odeljenja FSTEC Rusije za federalni okruzi za razliku od postupaka licenciranja FSB Rusije, gdje licenciranje u njihovoj zoni odgovornosti provode teritorijalna odjeljenja FSB Rusije. Trajanje postupka licenciranja TZKI može trajati od dva do šest mjeseci i povlači za sobom značajne finansijske troškove, posebno u slučaju nabavke kontrolno-mjerne opreme na nekretnini.

Da li je moguće pobjeći od potrebe licenciranja djelatnosti organizacija i poduzeća za TZKI? Preporuke FSTEC Rusije svode se na potrebu zaključivanja ugovora sa organizacijom koja ima licencu za TZKI, dok prisustvo ove licence od operatera obavezan uslov nije.

Preporuke FSTEC Rusije da se sklapaju ugovori sa vlasnicima licenci sa manje od 2.000 licenciranih u registru ne rješavaju problem zaštite povjerljivih informacija. Prema procjenama stručnjaka, samo u Rusiji postoji 5-7 miliona operatera ličnih podataka, ne računajući operatere koji obrađuju druge vrste informacija s ograničenim pristupom koji podliježu zaštiti u skladu sa saveznim zakonom. Osim toga, ugovor sa vlasnikom licence se obično zaključuje samo za određeni obim posla i usluga, po pravilu samo za stvaranje sistema zaštite povjerljivih informacija.

Koji su rizici za većinu organizacija koje nemaju i ne planiraju da dobiju licence po TZKI ili da primaju usluge organizacija koje imaju takvu licencu sa istim javna politika i pozicije FSTEC Rusije? Svaka organizacija mora sama odlučiti da li je potrebno dobiti takvu licencu. Ne postoje administrativne kazne za obavljanje poslova bez dozvole za rad TZKI od strane FSTEC Rusije, a u trenutnoj situaciji je malo vjerovatno da će se te kazne pojaviti, jer u uslovima nesavršenosti našeg zakonodavstva o zaštiti povjerljivih informacija , sudovi drugačije tumače norme saveznih zakona i odgovornost za njihovo nepoštovanje . Kao rezultat toga, ozbiljnost Uredbe se kompenzira neobavezujućom prirodom njenog izvršenja. Na primjer, član 14.1 Administrativnog zakonika Ruske Federacije predviđa odgovornost za "obavljanje poduzetničkih aktivnosti bez državne registracije ili bez posebne dozvole (licence)". Prema članu 2 Građanskog zakonika Ruske Federacije, „preduzetnička aktivnost je nezavisna aktivnost koja se obavlja na sopstveni rizik, a ima za cilj sistematsko sticanje dobiti od korišćenja imovine, prodaje dobara, obavljanja poslova ili pružanja usluga. usluga od strane lica registrovanih u ovom svojstvu na zakonom propisan način.” Samo to sugerira da se član 14.1 može primijeniti samo na one koji pružaju usluge i zarađuju na obezbjeđenju sigurnosti informacija, tj. licencirani FSTEC i FSB Rusije. Ovaj članak nema nikakve veze sa velikom većinom organizacija koje obrađuju povjerljive informacije (ograničene informacije koje nisu državna tajna). Prema mnogim stručnjacima za informatičku sigurnost, za većinu nevladinih organizacija koje se ne odnose na zaštitu državne tajne, zaista su mogući samo oblici upravljanja zaštitom povjerljivih informacija kroz preporučljivo korištenje regulatornih pravnih akata, regulatornih i metodoloških dokumenata regulatora, organizacionih i administrativnih dokumenata organizacija, korišćenje razvijenih i testiranih u interesu organa javne vlasti i njima podređenih preduzeća sistema i informacione bezbednosti. Osnova za rad sistema zaštite povjerljivih informacija u ovom slučaju je lični izbor vlasnika informacija o stepenu njihove zaštite i mehanizama zaštite. Istovremeno, prema iskustvu zemalja sa razvijenim zakonodavstvom u oblasti informacione bezbednosti, odlučujući faktori su rizik učesnika u informacionim odnosima i njihova lična odgovornost za preduzete mere za zaštitu poverljivih informacija. U Rusiji je, na primjer, ovaj pristup implementiran kada su Standardi Banke Rusije uvedeni u organizacije BS RF, kada zahtjevi za dobijanje licenci za tehničku zaštitu povjerljivih informacija i zahtjevi za atestiranje informacionih sistema ličnih podataka nisu obavezni ( u skladu sa tačkom 9. 6 STO BR IBBS-1.0-2010).

Alexander Katarzhnov

Kandidat tehničkih nauka, vanredni profesor, KNOU DO Obrazovni centar"EUREKA"

Brzi rast kompjuterizacije i povećanje obima digitalne informacije prisiljeni da povećaju nivo sigurnosti. To je dovelo do aktivni razvoj razne načine zaštitu podataka, kao i kompanije koje nude usluge privatnosti. Istovremeno, samo ograničen broj kompanije.

Obavezna dozvola

Zaštita ličnih i komercijalnih podataka prilično je delikatan i važan zadatak. Neprihvatljivo je pružanje takvih usluga bez dozvole. Za zaštitu informacija potrebne su sljedeće vrste mjera:

  • Razvoj, proizvodnja i distribucija alata za šifriranje
  • Raditi na tehničkoj zaštiti informacija koje su povjerljive
  • Detection elektronskim sredstvima koristi se za prećutno prikupljanje podataka
  • Izrada i razvoj SZKI (sredstva zaštite povjerljivih informacija)
  • Održavanje kriptografskim sredstvima zaštita informacija, telekomunikacija i informacionih sistema.

Izuzetak od ovoga je razvoj alata za šifriranje za ličnu upotrebu ili. Takođe, nije potrebna licenca za održavanje informacionih i drugih sistema koji se koriste za interno informisanje određene kompanije.

Zašto vam je potrebna licenca za tehničku (i drugu) zaštitu povjerljivih informacija, opisati ćemo u nastavku.

Dozvola za obavljanje djelatnosti tehničke zaštite povjerljivih informacija

Glavni zadaci licenciranja

Treba shvatiti da nivo povjerljivosti informacija može biti različit.

  • Za neke kompanije, curenje podataka može donijeti samo moralne neugodnosti, za druga preduzeća, kao rezultat, izgubiti će sposobnost funkcioniranja.
  • Također, ne zaboravite na poslovne tajne proizvodnje različite robe. Ako budu objavljeni, vjerovatno je različit razvoj događaji.

Glavni zadatak licenciranja je suzbijanje nesposobnih aktivnosti. Podnosioci zahtjeva za licencu moraju ispuniti niz kriterija kako bi osigurali kvalitetne usluge zaštite podataka i pošteno održavanje.

Ovaj video će vam reći o tehnologijama sigurnosti informacija:

Normativni dokumenti

Izdavanje dozvola regulisano je nizom propisa, zakona i propisa. Jedan od glavnih dokumenata je Savezni zakon br. 99 od 4. maja 2011. godine “O licenciranju određenih vrsta djelatnosti”. Također, na aktivnosti zaštite informacija primjenjuju se sljedeće uredbe Vlade Ruske Federacije:

  • broj 45 od 26.01.2006
  • broj 532 od 31.08.2006
  • broj 691 od 23.09.2002.

Također je vrijedno upoznati se sa Uredbom Vlade Ruske Federacije br. 1418 od 24. decembra 1994. godine. Svi ovi dokumenti daju detaljno sagledavanje procedure za dobijanje dozvole i navode uslove za njeno davanje, kao i listu potrebnih dokumenata.

Postupak za dobijanje licence od FSTEC Rusije za tehničku zaštitu povjerljivih informacija, pisanje prijave o ovom pitanju - sve je to opisano u nastavku.

Dobijanje dozvole za obavljanje djelatnosti zaštite informacija

Aktivnosti informacione bezbednosti zahtevaju poštovanje velikog spiska uslova i sistematsku pripremu. Nakon podnošenja zahtjeva, podnosilac zahtjeva za licencu mora proći stručnu provjeru koju čine zaposlenici FSB-a i FSTEC-a. Specific Composition stručna komisija zavisi od izabrane vrste delatnosti.

Prijava i mjesto podnošenja dokumenata

Zahtjev za izdavanje dozvole za obavljanje djelatnosti zaštite informacija popunjava se na obrascu propisanom zakonom. Uzorak zahtjeva daju državni organi za izdavanje dozvola. U izdavanju licenci za poslove zaštite informacija uključene su dvije organizacije:

  1. Federalna služba bezbednosti (FSB).
  2. Federalna služba za tehničku i izvoznu kontrolu (FSTEC).

Većina prijava se podnosi FSB-u, oni pružaju većinu aktivnosti. Nadležnost FSTEC-a je da kontroliše proizvodnju i razvoj specijalizovanih sredstava za zaštitu poverljivih informacija.

Potrebni uslovi za licenciranje aktivnosti za tehničku zaštitu povjerljivih informacija (dobijanje licence za to) opisani su u nastavku.

Uslovi

Glavna poteškoća u dobijanju licence su uslovi granta. Lista je prilično široka, a u nedostatku bilo koje stavke podnosilac zahtjeva je lišen prava na izdavanje dozvole. Istovremeno, uslovi za različite vrste aktivnosti se razlikuju, iako postoji zajednička lista.

Moraju biti ispunjeni sljedeći uslovi:

  • Imati najmanje 2 zaposlena sa odgovarajućim obrazovanjem ili kursevima prekvalifikacije
  • posjedovati prostore u vlasništvu ili u zakupu uz obaveznu tehničku usklađenost sa deklarisanom vrstom djelatnosti
  • Formirati materijalno-tehničku bazu od kontrolno-mjerne, ispitne i druge potrebne vrste opreme, zavisno od vrste djelatnosti
  • Provjerite prisustvo potrebnog softvera, u vlasništvu ili na drugi način legalno
  • Dostupnost specijalizovani sistem kontrolu u skladu sa odabranom vrstom aktivnosti i njenim posebnim podstavom
  • Posjeduje pravno tehničku dokumentaciju, metodološki razvoj, kao i druge papirne i digitalne podatke neophodne za obavljanje poslova.

Također, određene aktivnosti mogu zahtijevati određene sigurnosno certificirane objekte za obradu informacija.

Drugi uslov koji se odnosi na sve vrste delatnosti, osim za proizvodnju i razvoj SZKI, jeste prisustvo lidera sa više obrazovanje specijalizovan za " Sigurnost informacija» ili koji je završio kurs prekvalifikacije koji prelazi 500 sati u učionici.

Potrebni dokumenti

Uz navedene uslove potrebno je dostaviti sljedeći paket dokumenata:

  • Ugovori o radu, sertifikati i diplome zaposlenih
  • Zahtjev i prateća dokumentacija za plaćanje državne pristojbe
  • Dokumenti koji potvrđuju legalno postojanje sistema kontrole
  • Vlasnički dokumenti za prostorije i softver
  • Podaci o dostupnosti tehničke i druge dokumentacije potrebne za izvođenje radova
  • Dokumenti koji potvrđuju dostupnost potrebne materijalno-tehničke baze
  • Sertifikati o usklađenosti objekata za obradu informacija i/ili zaštićenih prostorija.

Svi podaci su dostavljeni osnivački dokumenti Podnosilac prijave. Broj obrazaca papira uvelike varira u zavisnosti od vrste odabrane aktivnosti, prisutnosti više prostorija, programa i tehnička dokumentacija. Zato je prilikom prikupljanja paketa dokumenata potrebno razjasniti dostupnost novih zakonskih akata koji se odnose na licenciranje djelatnosti zaštite informacija.

Faze aktivnosti licenciranja za organizaciju zaštite informacija su opisane u nastavku.

Faze

Procedura za izdavanje licence traje veliki broj vrijeme. Zakonski, rokovi za izdavanje ovog dokumenta su ograničeni na 45 dana. Jedan od važni koraci je preliminarna faza dobijanja dozvole, od kvaliteta njene realizacije zavisi i sama mogućnost davanja prava na poslove zaštite informacija.

Pripremne faze za licenciranje:

  • Proučavanje regulatornog okvira
  • Identifikacija usklađenosti sa deklarisanim uslovima
  • Prikupljanje paketa dokumenata i sastavljanje prijave
  • Ponovna analiza dostavljenih uslova i dokumenata.

Uz pravilno sproveden pripremni period za licenciranje, vjerovatnoća dobijanja licence je vrlo velika. Često su razlog odbijanja upravo greške u dostavljenim dokumentima ili neispunjavanje potrebnih uslova.

Poslije preliminarna faza potrebno je dostaviti dokumente potrebnom organu za licenciranje, koji se bira u zavisnosti od vrste djelatnosti (FSB ili FSTEC). Sljedeća stavka će biti proučavanje dokumenata od strane stručne komisije. Ako se pridržavaju, bit će organizirana provjera tehničke mogućnosti i uslove za poslovanje. završnim fazama je izdavanje službenog obrasca licence.

Korisne informacije

  • Posebnu pažnju treba obratiti na činjenicu da su svi postojeći vlasnici licenci podvrgnuti planiranim provjerama od strane FSB-a. Štaviše, ovu vrstu aktivnosti karakterišu spontane inspekcije bez upozorenja. Oni se provode legalno u cilju postizanja maksimalni kvalitet pružene usluge za očuvanje informacija.
  • Iz tog razloga, rok važenja dozvole je definisan na minimalno 5 godina, a procedura za produženje dozvole je pojednostavljena. Potrebno je ponovo izdati dokument koji potvrđuje dozvolu. Na zahtjev vlasnika licence, izdaje mu se novi obrazac sa produženim rokom važenja. To je moguće samo ako nema grubih prekršaja - ako ih ima, dozvola se oduzima.

Dobijanje dozvole za obavljanje poslova zaštite informacija samo po sebi nije posebno teško. Mnogo je teže prikupiti potreban paket dokumenata i pravilno ispuniti sve tražene uslove. Prilikom podnošenja zahtjeva za licencu najvažnije je obratiti pažnju pripremna faza a uz njegovu kvalitetnu implementaciju neće biti teško dobiti dozvolu.

Mnogo više korisne informacije zaštita informacija i licenciranje takvih aktivnosti sadržano je u ovom videu:

Top Related Articles

Kako vratiti izgubljeni ili ukradeni pametni telefon Kako pronaći ukradeni izgubljeni telefon
Kako vratiti izgubljeni ili ukradeni pametni telefon Kako pronaći ukradeni izgubljeni telefon
Koliko košta paket sa Aliexpressom?
Koliko košta paket sa Aliexpressom?
Ko je prvi izumeo sijalicu sa žarnom niti
Ko je prvi izumeo sijalicu sa žarnom niti
Kategorije:
© 2022 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.