صدور مجوز در زمینه امنیت اطلاعات. چگونه مجوز fstack بگیریم؟ شرایط لازم برای اخذ مجوز fstek

صدور مجوز در زمینه حفاظت از اطلاعات فعالیتی است که شامل انتقال یا اخذ حقوق برای انجام کار در زمینه حفاظت از اطلاعات است. سیاست دولت در زمینه صدور مجوز برای انواع خاصی از فعالیت ها و تضمین حمایت از منافع حیاتی فرد، جامعه و دولت توسط فرمان دولت تعیین می شود. فدراسیون روسیهمورخ 24 دسامبر 1994 شماره 1418 "در مورد مجوز انواع خاصی از فعالیت ها" (طبق مصوبات دولت فدراسیون روسیه از 05.05.95 شماره 450، مورخ 22.04.97 شماره 462، مورخ 01.12.97 شماره. 1513 نیز رجوع کنید به قطعنامه مورخ 11.02.02 شماره 135).

مجوز مجوزی برای انجام کار در زمینه امنیت اطلاعات است. مجوز برای انواع خاصی از فعالیت ها به مدت سه سال صادر می شود و پس از آن به ترتیبی که برای صدور مجوز تعیین شده است مجدداً ثبت می شود.

در صورتی مجوز صادر می شود که بنگاه متقاضی مجوز دارای شرایط صدور مجوز باشد: پایگاه تولید و آزمایش، اسناد نظارتی و روش شناختی و دارای پرسنل علمی و مهندسی باشد.

ساختار سازمانی سیستم صدور مجوز دولتی شرکت ها در زمینه امنیت اطلاعات توسط:

مراجع صدور مجوز دولتی؛

· مراکز صدور مجوز؛

شرکت های متقاضی

مراجع صدور مجوز دولتی:

· سازماندهی صدور مجوز دولتی اجباری برای شرکتها.

صدور مجوز دولتی برای شرکت های متقاضی؛

· توافق در مورد ترکیب کمیسیون های کارشناسی که توسط مراکز صدور مجوز نمایندگی می شوند.

· کنترل و نظارت بر کامل بودن و کیفیت کار انجام شده توسط دارندگان مجوز در زمینه امنیت اطلاعات.

مراکز مجوز:

کمیسیون های کارشناسی تشکیل داده و ترکیب آنها را برای تصویب به رؤسای نهادهای صدور مجوز دولتی مربوطه که عبارتند از FSTEC و FSB ارائه می کنند.

· برنامه ریزی و انجام کار در مورد بررسی شرکت ها - متقاضیان.

· کنترل کامل و کیفیت کار انجام شده توسط دارندگان مجوز.

مراکز صدور مجوز زیر نظر ارگان های صدور مجوز دولتی به دستور رؤسای این دستگاه ها ایجاد می شود. کمیسیون‌های کارشناسی از میان متخصصان صنایع، ارگان‌های دولتی، سایر سازمان‌ها و مؤسسات ذی‌ربط در زمینه حفاظت اطلاعات تشکیل می‌شوند. کمیسیون های تخصصی در یک یا چند حوزه حفاظت از اطلاعات ایجاد می شوند.

صدور مجوز FSTEC روسیهمشمول موارد زیر هستند:

صدور گواهینامه، آزمایشات گواهینامه ابزارهای فنی امن پردازش اطلاعات (TSOI)، فنی و ابزارهای نرم افزاریحفاظت، ابزار نظارت بر اثربخشی اقدامات حفاظت از اطلاعات، پردازش نرم افزار، حفاظت و کنترل امنیتی؛

گواهی سیستم های اطلاعاتی، سیستم های کنترل خودکار، سیستم های ارتباطی و انتقال داده ها، تاسیسات WT و اماکن اختصاصی برای انطباق با الزامات دستورالعمل ها و مقررات مربوط به امنیت اطلاعات.

توسعه، تولید، فروش، نصب، تنظیم، نصب، تعمیر، نگهداری اشیاء انفورماتیک حفاظت شده، ابزارهای فنی حفاظت و کنترل اثربخشی اقدامات حفاظت از اطلاعات، ابزارهای نرم افزاری محافظت شده برای پردازش، حفاظت و کنترل امنیت اطلاعات.

· انجام مطالعات ویژه بر روی تشعشعات الکترومغناطیسی جعلی و تداخل (PEMIN) TSOI.

طراحی اشیا در طراحی ایمن

مرجع صدور مجوز مسئول موارد زیر است:

· تدوین قوانین، رویه ها و اسناد هنجاری- روشی در مورد مسائل صدور مجوز.

· اجرای مدیریت علمی و روش شناختی فعالیت های دارای مجوز.

انتشار اطلاعات لازمدر مورد سیستم صدور مجوز؛

· رسیدگی به درخواست سازمانها و واحدهای نظامی برای صدور مجوز.

هماهنگی بیانیه ها با واحدهای نظامی مسئول حوزه های مربوطه حفاظت از اطلاعات؛

· هماهنگی ترکیب کمیسیون های کارشناسی.

سازماندهی و برگزاری امتحانات ویژه؛

تصمیم گیری در مورد صدور مجوز؛

صدور مجوز؛

تصمیم گیری برای تعلیق، تمدید مجوز یا لغو آن؛

· نگهداری ثبت مجوزهای صادر شده، تعلیق شده، تمدید و لغو شده.

کسب، حسابداری و ذخیره فرم های مجوز؛

سازماندهی کار مراکز گواهی.

· نظارت بر کامل و کیفیت کار انجام شده توسط دارندگان مجوز.

مطابق با ماده 17 قانون فدرال شماره 128-FZ مورخ 8 اوت 2001 "در مورد صدور مجوز برای انواع خاصی از فعالیت ها" (طبق اصلاح قانون فدرال شماره 80-FZ از 2 ژوئیه 2005)، انواع فعالیت های زیر ( در زمینه امنیت اطلاعات) مشمول مجوز هستند:

فعالیت برای توزیع ابزارهای رمزگذاری (رمز نگاری)؛

فعالیت برای نگهداریرمزگذاری (رمز نگاری) به معنی؛

ارائه خدمات در زمینه رمزگذاری اطلاعات؛

· توسعه، تولید رمزگذاری (رمز نگاری) به معنی محافظت شده با استفاده از ابزارهای رمزگذاری (رمز نگاری) سیستم های اطلاعاتی، سیستم های مخابراتی.

· توسعه و (یا) تولید ابزارهای حفاظت از اطلاعات محرمانه. فعالیت های حفاظت فنی اطلاعات محرمانه;

· فعالیت برای شناسایی دستگاه های الکترونیکی طراحی شده برای به دست آوردن مخفیانه اطلاعات در اماکن و وسایل فنی (به استثنای مواردی که این فعالیت برای رفع نیازهای خود شخص حقوقی یا کارآفرین فردی انجام می شود).

در چارچوب انواع فعالیت های مورد بررسی، قطعنامه های جداگانه ای از دولت فدراسیون روسیه صادر شد که روند صدور مجوز را روشن می کند. از جمله:

· فرمان شماره 45 دولت فدراسیون روسیه مورخ 26 ژانویه 2006 "در مورد سازماندهی صدور مجوز برای انواع خاصی از فعالیت ها"؛ فرمان دولت فدراسیون روسیه مورخ 15 اوت 2006 شماره 504 "در مورد صدور مجوز فعالیت برای حفاظت فنیاطلاعات محرمانه"؛

· فرمان شماره 532 دولت فدراسیون روسیه مورخ 31 اوت 2006 "در مورد صدور مجوز فعالیت برای توسعه و (یا) تولید ابزارهای حفاظت اطلاعات محرمانه"؛

· فرمان دولت فدراسیون روسیه در 23 سپتامبر 2002 شماره 691 "در مورد تصویب مقررات مربوط به صدور مجوز انواع خاصی از فعالیت های مربوط به رمزگذاری (رمزگذاری)".

مطابق با این اسناد، دارندگان مجوز موظفند سالانه اطلاعات مربوط به میزان کار انجام شده بر روی انواع خاصی از فعالیت های مشخص شده در مجوز را به مرجع صدور مجوز یا مرکز صدور گواهینامه ارائه کنند. دارندگان مجوز مسئولیت کامل و کیفیت کار انجام شده و تضمین ایمنی را بر عهده دارند راز دولتیدر جریان فعالیت های عملی به آنها سپرده می شود.

برای عملکرد عادی سیستم های مدیریت اسناد الکترونیکی (EDM)، لازم است رویه هایی برای حل تعارضات احتمالی ایجاد شود. یکی از طرفین چنین درگیری ها، علاوه بر شرکت کنندگان EDI و ارائه دهنده، ممکن است توسعه دهنده نرم افزار باشد.

فرض بر این است که قرارداد با شرکت توسعه دهنده در دسترس بودن یک نمونه نرم افزار مرجع را در نظر می گیرد که فقط توسط شرکت ارائه دهنده یا همه شرکت کنندگان EDF می تواند ذخیره شود. این امر مستلزم تحقق دو شرط اساسی است:

باید مستند شود که هر شرکت کننده در سیستم EDI (از جمله ارائه دهنده) نرم افزاری را نصب کرده است که با نمونه مرجع مطابقت دارد.

ذخیره سازی نمونه های مرجع به گونه ای سازماندهی شده است که امکان تغییر نمونه نرم افزار مرجع بدون اطلاع طرفین را از بین ببرد.

این حالت می تواند توسط سیستمی متشکل از چندین کلید عمومی ارائه شود.

امروزه، زمانی که فناوری‌های اطلاعاتی مدرن به شدت در تمام عرصه‌های زندگی و فعالیت‌های جامعه، ملی و به عنوان بخشی از آن وارد می‌شوند، امنیت اقتصادی دولت به طور مستقیم به تأمین امنیت اطلاعات بستگی دارد. به همین دلیل است که به منظور ایجاد ضمانت هایی برای اطمینان از ثبات لازم ابزارهای امنیت اطلاعات، دولت مسئولیت صدور مجوز فعالیت های سازمان های درگیر در امنیت اطلاعات و گواهی ابزارهای فنی مربوطه را بر عهده می گیرد.

سطح فعلی حفاظت در برابر تهدیدات اطلاعات خارجی در سطح جهانی شبکه های بازنمی توان آن را رضایت بخش تلقی کرد: روسیه هنوز فاقد یک استراتژی جامع و از نظر فنی سالم در این زمینه است. به منظور تغییر وضعیت، مجموعه ای از اقدامات در زمینه قانون گذاری و استانداردسازی ابزارهایی که امنیت اطلاعات روسیه را تضمین می کند باید بلافاصله توسعه و اجرا شود. وظایف اولویت دار در این راستا عبارتند از:

· تصویب قانون ویژه ای مشابه "قانون امنیت رایانه" در ایالات متحده، که مسئولیت حمایت روش شناختی از کار در زمینه امنیت اطلاعات را بر عهده سازمان های دولتی خاص می گذارد.

· توسعه رویکردهای یکپارچه برای تضمین امنیت برای سازمان هایی با مشخصات، اندازه ها و اشکال مختلف مالکیت.

حصول اطمینان از ظهور تعداد کافی ابزار معتبر مختلف در بازار برای حل مشکلات امنیت اطلاعات.

یکی از مشکلاتی که در زمینه امنیت اطلاعات در روسیه وجود دارد، نبود اسناد رسمی با توصیه های دقیقدر ساختن سیستم های اطلاعاتی ایمن مشابه آنچه که برای مثال توسط موسسه فناوری استاندارد آمریکا (ایالات متحده آمریکا) و استاندارد بریتانیا توسعه یافته است. در حالی که هیچ مقرراتی در بریتانیا وجود ندارد که نیاز به انطباق داشته باشد استانداردهای دولتیحدود 60 درصد از شرکت ها و سازمان های انگلیسی به طور داوطلبانه از استاندارد توسعه یافته استفاده می کنند و مابقی نیز قصد دارند در آینده نزدیک توصیه های آن را اجرا کنند.

صدور مجوز و صدور گواهینامه در زمینه سیستم های امنیت اطلاعات می تواند این مشکل را کاهش دهد. لازم است تضمین هایی برای کاربر ایجاد شود که ابزار حفاظت از اطلاعات مورد استفاده توسط وی قادر به ارائه باشد سطح مورد نیازحفاظت. این مجوز است که می تواند به این اطمینان کمک کند که فقط متخصصان بسیار ماهر در این زمینه با مشکل حفاظت از اطلاعات برخورد خواهند کرد و محصولاتی که ایجاد می کنند در سطح مناسبی قرار می گیرند و می توانند گواهینامه دریافت کنند.

بدون گواهینامه، ارزیابی اینکه آیا یک ابزار خاص حاوی ویژگی های بالقوه مضر غیرمستندی است، غیرممکن است، حضور آنها به ویژه برای اکثر محصولات خارجی معمول است، که می تواند در برخی مواقع منجر به خرابی سیستم و حتی عواقب جبران ناپذیری برای آن شود. یک نمونه معمولی از این قبیل ویژگی های غیر مستندتوسط اریکسون در طول توسعه متعهد شده است مبادلات تلفنی، که بر اساس آن وزارت راه آهن فدراسیون روسیه شبکه تلفن خود را ایجاد می کند ، توانایی مسدود کردن کار آنها هنگام دریافت تماس خاص شماره تلفنکه شرکت از نام بردن آن خودداری می کند. و این مثال تنها نیست.

فرآیند صدور گواهینامه یک محصول نرم افزاری تقریباً همزمان با توسعه آن طول می کشد و عملاً بدون کد منبع برنامه ها با نظرات غیرممکن است. در عین حال، بسیاری از شرکت های خارجی تمایلی به نمایندگی ندارند کد منبعمحصولات نرم افزاری خود را به مراکز صدور گواهینامه روسیه ارسال می کنند. مثلا علی رغم توافق اساسی مایکروسافتبرای صدور گواهینامه در روسیه از ویندوز NT، که در آن بیش از 50 باگ مربوط به امنیت در حال حاضر شناسایی شده است، این موضوع به دلیل عدم وجود کد منبع آن برای ماه ها نمی تواند به جلو برود.

مشکلات مربوط به صدور گواهینامه منجر به این واقعیت می شود که در بین محصولات هم کلاس، ساده ترین آنها سریعتر از سایرین گواهی را دریافت می کنند که باعث می شود برای کاربر قابل اعتمادتر به نظر برسند. مدت طولانی صدور گواهینامه منجر به این واقعیت می شود که شرکت توسعه دهنده موفق می شود نسخه جدیدی از محصول خود را به بازار بیاورد و این روند بی پایان می شود.

تأیید ابزارهای فنی امنیت اطلاعات بدون استانداردهای مناسب دشوار است، که ایجاد آن در روسیه به دلیل کمبود منابع مالی محدود است. این مشکل در صورتی حل می شود که چندین شرکت علاقه مند به بازاریابی و چندین سازمان علاقه مند به استفاده از ابزارهای فنی مناسب وجود داشته باشند. به عنوان مثال، نتیجه تلاش های مشترک چنین سازمان ها، شرکت ها و FSTEC (کمیسیون فنی دولتی سابق (STC)) توسعه مواد فنی راهنمای کمیته دولتی گمرک فدراسیون روسیه "تجهیزات کامپیوتری. فایروال ها" بود. حفاظت در برابر دسترسی غیرمجاز به اطلاعات شاخص های امنیت در برابر دسترسی غیرمجاز به اطلاعات». او اجازه داد تا ابزارهایی را طبقه بندی کند که تا حدی قادر به محافظت از شبکه های شرکتی در برابر نفوذ خارجی هستند.

این سند وجود چندین کلاس فایروال را فرض می کند: از ساده ترین، که فقط اجازه می دهد تا جریان اطلاعات را کنترل کند، تا پیچیده ترین، انجام کدگذاری مجدد کامل اطلاعات ورودی، محافظت کامل از شبکه شرکت در برابر تأثیرات خارجی. گواهی انطباق در حال حاضر امروز مشخصات فنیمطابق با راهنما توسعه یافته است مواد فنیآنچه مجاز است قانون فعلی، چنین گذشت فایروال هامانند Sun Screen، SKIPbridge و Pandora. با این حال، صدور گواهینامه آنها بدون مبارزه نبود.

با در نظر گرفتن الزامات امنیت اطلاعات و رویه جهانی در زمینه امنیت اطلاعات، به نظر می رسد روسیه به سیستم های ایجاد شده استانداردسازی و صدور گواهینامه بین المللی فناوری اطلاعات بپیوندد که در عمل به این معنی است:

· تطبیق استانداردهای ملی و صنعتی با استانداردهای بین المللی.

· مشارکت نمایندگان روسیه در سیستم های صدور گواهینامه بین المللی (از جمله آزمون های صدور گواهینامه).

· امکان به رسمیت شناختن گواهینامه های بین المللی در روسیه.

علاوه بر این، مطابق با قانون قابل اجرا، هر سازمانی که در جمع آوری و پردازش داده های شخصی (مثلاً تراکنش با کارت های پلاستیکی) دخیل است، باید مجوزی برای انجام چنین فعالیت هایی داشته باشد و از ابزارهای تأیید شده برای این کار استفاده کند.

FSTEC روسیه (کمیسیون فنی دولتی سابق) چارچوب نظارتی لازم را برای محافظت از اطلاعات در برابر دسترسی غیرمجاز ایجاد کرده است. ساختار اسناد اصلی حاکم را در نظر بگیرید.

1. « محافظت در برابر دسترسی غیرمجاز به اطلاعات اصطلاحات و تعاریف"- یک استاندارد اصطلاحی یکپارچه در زمینه حمایت از وجوه ایجاد می کند علوم کامپیوترو سیستم های خودکار از دسترسی غیرمجاز به اطلاعات، که برای استفاده در انواع اسناد اجباری است.

2. « مفهوم حفاظت از تجهیزات کامپیوتری و سیستم های خودکار در برابر دسترسی غیرمجاز به اطلاعات"- تشریح اصول اساسی که مشکل حفاظت از اطلاعات در برابر دسترسی غیرمجاز بر آن استوار است و ارتباط آن با مشکل رایجامنیت اطلاعات. این مفهوم موضوعات زیر را منعکس می کند: تعریف دسترسی غیرمجاز، اصول اساسی حفاظت، مدل نفوذگر در سیستم های خودکار، روش های اصلی دسترسی غیرمجاز، جهت های اصلی حفاظت، ویژگی های اصلی ابزار فنی حفاظت، طبقه بندی سیستم های خودکار، سازماندهی کار در زمینه حفاظت. این مفهوم برای مشتریان، توسعه دهندگان و کاربران تجهیزات کامپیوتری و سیستم های خودکار در نظر گرفته شده است که هدف اصلی آن پردازش، ذخیره و انتقال اطلاعات محافظت شده است.

3. «وسایل حفاظت از اطلاعات. حفاظت از اطلاعات موجود در صندوق‌های صندوق و سیستم‌های نقدی خودکار. طبقه‌بندی صندوق‌های نقدی، سیستم‌های نقدی خودکار و الزامات امنیت اطلاعات- طبقه بندی صندوق های نقدی، سیستم های نقدی خودکار، فن آوری های اطلاعات و الزامات حفاظت از اطلاعات مربوط به مالیات را ایجاد می کند. بر اساس این سند، 2 کلاس صندوق، سیستم های نقدی خودکار و فناوری اطلاعات ایجاد می شود. طبقه اول شامل سیستم هایی است که اطلاعات مربوط به جریان های نقدی را به میزان حداکثر 350 حداقل دستمزد در روز پردازش می کند و دسته دوم - به میزان بیش از 350 حداقل دستمزد.

4. «امکانات کامپیوتری. محافظت در برابر دسترسی غیرمجاز به اطلاعات شاخص های امنیت در برابر دسترسی غیرمجاز به اطلاعات»- الزامات حفاظت از تجهیزات کامپیوتری در برابر دسترسی غیرمجاز را تنظیم می کند که برای نرم افزارهای سراسر سیستم اعمال می شود و سیستم های عامل. هفت کلاس امنیتی وجود دارد که به چهار گروه تقسیم می شوند. هر کلاس حاوی لیستی از مکانیسم های حفاظت از اطلاعات لازم برای اجرای دسترسی های غیرمجاز است.

5. «سیستم های خودکار. محافظت در برابر دسترسی غیرمجاز به اطلاعات طبقه بندی سیستم های خودکار و الزامات حفاظت از اطلاعات "- سیستم های خودکار را بسته به وجود اطلاعات سطوح مختلف محرمانگی، سطح اختیارات افراد دسترسی، حالت های پردازش داده ها در 9 کلاس طبقه بندی می کند و برای هر یک از آنها مجموعه ای از الزامات را تعیین می کند. بسته به ویژگی های پردازش اطلاعات در سیستم های خودکار، کلاس ها به سه گروه تقسیم می شوند.

6. «امکانات کامپیوتری. فایروال ها محافظت در برابر دسترسی غیرمجاز به اطلاعات شاخص های امنیت در برابر دسترسی غیرمجاز به اطلاعات»- الزامات کلاس های مختلف فایروال ها را اعلام می کند. در مجموع، پنج کلاس امنیتی فایروال وجود دارد. طبقه بندی بسته به کلاس امنیتی سیستم های خودکار انجام می شود که توسط یک فایروال محافظت می شود.

بر اساس اسناد راهنمایی و چارچوب نظارتی FSTEC روسیه، توسعه، صدور گواهینامه و استفاده از ابزارهای حفاظت از اطلاعات در برابر دسترسی غیرمجاز، و همچنین صدور مجوز شرکت ها برای حق فعالیت در زمینه حفاظت از اطلاعات در قلمرو روسیه. فدراسیون روسیه، انجام می شود.

مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه توسط FSTEC روسیه انجام می شود. برای اخذ مجوز، متقاضی باید شرایط و شرایط زیر را داشته باشد:

1. حضور در کادر متخصصان با بالاتر تحصیلات حرفه ایدر زمینه حفاظت فنی اطلاعات یا آموزش عالی یا متوسطه حرفه ای (فنی) و کسانی که در زمینه مسائل حفاظت فنی اطلاعات دوره های بازآموزی یا آموزش پیشرفته را گذرانده اند.
2. متقاضی مجوز دارای مکان هایی برای اجرای فعالیت مجاز است که استانداردهای فنی و الزامات حفاظت فنی از اطلاعات تعیین شده توسط قوانین قانونی نظارتی فدراسیون روسیه را برآورده می کند و از نظر حق مالکیت یا موارد دیگر متعلق به او است. مبنای قانونی;
3. در دسترس بودن بر اساس هر مبنای قانونی تجهیزات تولید، آزمایش و کنترل و اندازه گیری که تأیید اندازه گیری (کالیبراسیون)، علامت گذاری و گواهینامه را مطابق با قوانین فدراسیون روسیه گذرانده است.
4. استفاده از سیستم‌های خودکاری که اطلاعات محرمانه را پردازش می‌کنند، و همچنین ابزارهایی برای محافظت از چنین اطلاعاتی که مراحل ارزیابی انطباق را گذرانده‌اند (تأیید شده و (یا) گواهی شده بر اساس الزامات ایمنیاطلاعات) مطابق با قوانین فدراسیون روسیه؛
5. استفاده از برنامه‌های رایانه‌های الکترونیکی و پایگاه‌های اطلاعاتی در نظر گرفته شده برای اجرای فعالیت دارای مجوز بر اساس توافق با دارنده حق آنها.
6. در دسترس بودن اقدامات قانونی نظارتی، اسناد نظارتی و روش شناختی و روش شناختی در مورد حفاظت فنی اطلاعات مطابق با لیستی که توسط سرویس فدرال برای کنترل فنی و صادرات ایجاد شده است.

برای دریافت مجوز، متقاضی مدارک مورد بحث در بخش قبلی این سخنرانی را به FSTEC ارائه می کند. علاوه بر این مدارک، متقاضی باید موارد زیر را ارائه دهد:

1. کپی مدارک تأیید کننده صلاحیت متخصصان امنیت اطلاعات (دیپلم ها، گواهی ها، گواهی ها).
2. کپی اسنادی که حق مالکیت، حق مدیریت اقتصادی یا مدیریت عملیاتی محل های در نظر گرفته شده برای اجرای فعالیت های دارای مجوز، یا کپی قراردادهای اجاره برای این اماکن یا استفاده رایگان از آنها را تأیید می کند.
3. کپی گواهی انطباق اماکن حفاظت شده الزامات ایمنیاطلاعات؛
4. کپی ها گذرنامه فنی سیستم خودکاربا پیوست ها، عمل طبقه بندی یک سیستم خودکار بر اساس الزامات ایمنیاطلاعات، طرح چیدمان وسایل و سیستم های فنی اصلی و کمکی، گواهی انطباق سیستم خودکار الزامات ایمنیاطلاعات یا گواهی انطباقسیستم خودکار الزامات ایمنیاطلاعات، و همچنین فهرستی از منابع محافظت شده در سیستم های خودکار با تأیید اسنادی درجه محرمانه بودن هر منبع، شرح فرآیند تکنولوژیکیپردازش اطلاعات در یک سیستم خودکار؛
5. کپی اسنادی که حق برنامه های رایانه های الکترونیکی و پایگاه های داده مورد استفاده برای اجرای فعالیت مجاز را تأیید می کند.
6. اطلاعات در مورد در دسترس بودن تجهیزات تولید و کنترل و اندازه گیری، ابزارهای امنیت اطلاعاتو بودجه کنترل امنیتیاطلاعات لازم برای اجرای فعالیت دارای مجوز، به همراه کپی اسناد مربوط به تأیید تجهیزات کنترل و اندازه گیری ضمیمه شده است.
7. اطلاعات در مورد اقدامات قانونی نظارتی متقاضی مجوز، اسناد نظارتی و روش شناختی و روش شناختی در مورد مسائل حفاظت فنی اطلاعات

FSTEC کامل بودن اسناد ارسالی، کامل بودن و صحت اطلاعات ذکر شده در آنها را بررسی می کند. اگر هر گونه اطلاعات (اسناد) وجود نداشته باشد، FSTEC ظرف 15 روز به متقاضی اطلاع می دهد. در مدت زمانی که بیشتر از آن نباشد 45 روز پس از دریافت مدارک از متقاضی، FSTEC در مورد صدور مجوز تصمیم گیری می کند. این تصمیم توسط قانون مربوطه FSTEC تهیه می شود.

مجوز صادر شده است 5 سال، و پس از انقضای این مدت بنا به درخواست دارنده پروانه قابل تمدید می باشد.

4.3. نظارت بر انطباق با الزامات و شرایط مجوز

عملکرد نظارت بر انطباق دارنده مجوز با الزامات و شرایط صدور مجوز توسط مرجع صدور مجوز انجام می شود، یعنی در مورد حفاظت فنی از اطلاعات محرمانه - FSTEC. روش کنترل است بازرسی های برنامه ریزی شده و غیر برنامه ریزی شدهکه طبق روال تعیین شده توسط قانون فدرال شماره 294 "در مورد حمایت از حقوق اشخاص حقوقی و کارآفرینان فردی در اجرای کنترل دولتی (نظارت) و کنترل شهرداری" انجام می شود.

هدف از بازرسی برنامه‌ریزی‌شده تأیید این است که دارنده مجوز در فرآیند انجام فعالیت‌های حفاظت فنی از اطلاعات محرمانه، با الزامات و شرایط مجوز مطابقت دارد. در رابطه با یک شخص حقوقی یا کارآفرین فردی، حداکثر یک بار در مدت سه سال قابل انجام است. بازرسی های برنامه ریزی شده مطابق با برنامه بازرسی سالانه انجام می شود که در وب سایت رسمی FSTEC روسیه منتشر شده است.

دارنده پروانه در صورت انقضای سه سال از تاریخ زیر مشمول بازرسی برنامه ریزی شده می شود:

• ثبت نام دولتیدارنده پروانه؛
• تکمیل آخرین بازرسی برنامه ریزی شده از دارنده مجوز.

حداکثر سه روز کاری قبل از بازرسی به دارنده مجوز اطلاع داده می شود.

موضوع بازرسی غیر برنامه ریزی شده، انطباق دارنده پروانه با الزامات و شرایط صدور مجوز، اجرای دستورالعمل برای رفع تخلفات شناسایی شده و اجرای اقدامات برای تامین امنیت کشور است.

مبنای بازرسی برنامه ریزی نشده این است:

1. انقضای مدت اجرای دستوری که قبلاً برای دارنده پروانه صادر شده بود برای رفع تخلف شناسایی شده از الزامات و شرایط مجوز؛
2. دریافت درخواست توسط FSTEC روسیه از درخواست‌ها و درخواست‌های شهروندان، اشخاص حقوقی، کارآفرینان فردی، اطلاعات مقامات دولتی، دولت‌های محلی، وجوه رسانه های جمعیدر مورد حقایق زیر:
   • ظهور تهدید آسیب به امنیت دولت؛
   • آسیب به امنیت کشور

بازرسی های برنامه ریزی شده و غیر برنامه ریزی شده به صورت مستند یا میدانی انجام می شود. یک بررسی اسنادی مدارک دارنده مجوز را بررسی می کند و در محل FSTEC انجام می شود. در بازرسی در محل، نه تنها مدارک صاحب مجوز بررسی می شود، بلکه مطابقت آن با الزامات مجوزو شرایط

مدت زمان هر یک از بازرسی ها نباید از 20 روز کاری تجاوز کند. بر اساس نتایج بازرسی، یک قانون در دو نسخه تنظیم می شود که پروتکل ها (نتیجه گیری) مطالعات (آزمون) و معاینات پیوست شده است.

به طور خلاصه می توان گفت که فرآیند اخذ مجوز حفاظت فنی از اطلاعات محرمانه بسیار پرزحمت، طولانی و از همه مهمتر پرهزینه است، زیرا برای دریافت مجوز باید کلیه شرایط و الزامات مجوز رعایت شود. طولانی ترین زمان آموزش متخصصان در دوره های آموزشی پیشرفته است. علیرغم این واقعیت که تعداد سازمان هایی که با اطلاعات محرمانه سروکار دارند بسیار زیاد است، اما هر یک از آنها نمی توانند متخصصان با تحصیلات حرفه ای عالی در زمینه VBI را بخرند. دوره های تکمیلی خصوصی مورد تایید FSTEC معمولاً 72 ساعت طول می کشد. پرهزینه ترین نیاز از نظر اقتصادی، صدور گواهینامه اشیاء اطلاعاتی (سیستم خودکار و مکان های امن) است که برای پردازش اطلاعات محرمانه در نظر گرفته شده است. همچنین مشکل تهیه تجهیزات کنترل و اندازه گیری وجود دارد که پس از صدور گواهینامه اصلاً نیازی به آن نیست مگر اینکه سازمان قرار باشد خدماتی را برای صدور گواهینامه اشیاء اطلاعاتی ارائه کند. یک گزینه جایگزین اجاره چنین تجهیزاتی است، اما این نیز هزینه دارد. بنابراین، مدت پروسه صدور مجوز می تواند از 2 تا 6 ماه طول بکشد و هزینه های مواد قابل توجهی را به دنبال داشته باشد. راه حل این مشکل برون سپاری است. برون سپاری (از انگلیسی برون سپاری) به معنای واقعی کلمه "استفاده از منابع خارجی". برون سپاری شامل انتقال از شرکت مشتری به یک سازمان شخص ثالث (پیمانکار) وظایف خاصی از فعالیت های قانونی است، به عنوان مثال، حفاظت فنی از اطلاعات محرمانه. در این صورت پیمانکار از نرم افزار، سخت افزار و سایر وسایل حفاظتی، مجوزها، گواهینامه ها و ... خود استفاده می کند و نتیجه کار نیز به عهده خود می باشد.

ارسال کار خوب خود را در پایگاه دانش ساده است. از فرم زیر استفاده کنید

کار خوببه سایت">

دانشجویان، دانشجویان تحصیلات تکمیلی، دانشمندان جوانی که از دانش پایه در تحصیل و کار خود استفاده می کنند از شما بسیار سپاسگزار خواهند بود.

نوشته شده در http://www.allbest.ru/

وزارت حمل و نقل فدراسیون روسیه

آژانس فدرال حمل و نقل ریلی بودجه ایالتی فدرال موسسه تحصیلیآموزش عالی حرفه ای

"خاور دور دانشگاه دولتیوسایل ارتباطی"

بخش حقوق مدنی، تجارت و حمل و نقل

رشته: پشتیبانی قانونی از امنیت اطلاعات

موضوع: صدور مجوز و گواهینامه در زمینه امنیت اطلاعات

توسط یک دانش آموز تکمیل شد

نپومنیاشچایا ناتالیا اوگنیونا

بررسی شده توسط: معلم بخش:

ژلزنیاکوف آناتولی میخائیلوویچ

خاباروفسک

معرفی

1. صدور مجوز در زمینه امنیت اطلاعات

1.1 مرجع صدور مجوز - FSTEC روسیه

1.2 مرجع صدور مجوز - FSB روسیه

2. صدور گواهینامه در زمینه امنیت اطلاعات

2.1 ساختار سازمانیسیستم های صدور گواهینامه

2.2 روش صدور گواهینامه

نتیجه

کتابشناسی - فهرست کتب

معرفی

یکی از مشکلات در زمینه امنیت اطلاعات در روسیه، نبود اسناد رسمی با توصیه های دقیق برای ایجاد امنیت است سیستم های اطلاعاتیمشابه مواردی که برای مثال توسط موسسه فناوری استاندارد آمریکا (ایالات متحده آمریکا) و استاندارد بریتانیا توسعه یافته است. اگرچه هیچ مقرراتی در بریتانیا برای الزام اجرای استانداردهای دولتی وجود ندارد، اما حدود 60 درصد از شرکت‌ها و سازمان‌های انگلیسی به‌طور داوطلبانه از استاندارد توسعه‌یافته استفاده می‌کنند و بقیه در نظر دارند توصیه‌های آن را در آینده نزدیک اجرا کنند.

صدور مجوز و صدور گواهینامه در زمینه سیستم های امنیت اطلاعات می تواند این مشکل را کاهش دهد. لازم است تضمین هایی برای کاربر ایجاد شود که وسایل حفاظت از اطلاعات مورد استفاده توسط وی قادر به ارائه سطح حفاظت لازم باشد. این مجوز است که می تواند به این اطمینان کمک کند که فقط متخصصان بسیار ماهر در این زمینه با مشکل حفاظت از اطلاعات برخورد خواهند کرد و محصولاتی که ایجاد می کنند در سطح مناسبی قرار می گیرند و می توانند گواهینامه دریافت کنند.

بدون گواهینامه، ارزیابی اینکه آیا یک ابزار خاص حاوی ویژگی های بالقوه مضر غیرمستندی است، غیرممکن است، حضور آنها به ویژه برای اکثر محصولات خارجی معمول است، که می تواند در برخی مواقع منجر به خرابی سیستم و حتی عواقب جبران ناپذیری برای آن شود. نمونه بارز چنین قابلیت های غیرمستند شرکت اریکسون است که در هنگام توسعه مبادلات تلفنی، بر اساس آن وزارت راه آهن فدراسیون روسیه خود را ایجاد می کند. شبکه تلفن، امکان مسدود کردن کار آنها هنگام دریافت تماس از یک شماره تلفن خاص که شرکت از نام بردن آن خودداری می کند. و این مثال تنها نیست.

فرآیند صدور گواهینامه یک محصول نرم افزاری تقریباً همزمان با توسعه آن طول می کشد و عملاً بدون کد منبع برنامه ها با نظرات غیرممکن است. در عین حال، بسیاری از شرکت های خارجی تمایلی به ارائه کد منبع خود ندارند محصولات نرم افزاریبه مراکز صدور گواهینامه روسیه به عنوان مثال، علیرغم موافقت اساسی مایکروسافت برای تأیید ویندوز NT در روسیه، که در آن بیش از 50 خطای امنیتی در حال حاضر شناسایی شده است، این موضوع به دلیل کمبود کد منبع آن ماه ها است که نمی تواند به جلو حرکت کند. .

مشکلات مربوط به صدور گواهینامه منجر به این واقعیت می شود که در بین محصولات هم کلاس، ساده ترین آنها سریعتر از سایرین گواهی را دریافت می کنند که باعث می شود برای کاربر قابل اعتمادتر به نظر برسند. مدت طولانی صدور گواهینامه منجر به این واقعیت می شود که شرکت توسعه دهنده موفق می شود نسخه جدیدی از محصول خود را به بازار بیاورد و این روند بی پایان می شود.

تأیید ابزارهای فنی امنیت اطلاعات بدون استانداردهای مناسب دشوار است، که ایجاد آن در روسیه به دلیل کمبود منابع مالی محدود است. این مشکل در صورتی حل می شود که چندین شرکت علاقه مند به بازاریابی و چندین سازمان علاقه مند به استفاده از ابزارهای فنی مناسب وجود داشته باشند. به عنوان مثال، نتیجه تلاش های مشترک چنین سازمان ها، شرکت ها و FSTEC (کمیسیون فنی دولتی سابق (STC)) توسعه مواد فنی راهنمای کمیته دولتی گمرک فدراسیون روسیه "تجهیزات کامپیوتری. فایروال ها" بود. حفاظت در برابر دسترسی غیرمجاز به اطلاعات شاخص های امنیت در برابر دسترسی غیرمجاز به اطلاعات». او اجازه داد تا ابزارهایی را طبقه بندی کند که تا حدی قادر به محافظت از شبکه های شرکتی در برابر نفوذ خارجی هستند.

این سند وجود چندین کلاس فایروال را فرض می کند: از ساده ترین، که فقط اجازه می دهد تا جریان اطلاعات را کنترل کند، تا پیچیده ترین، انجام کدگذاری مجدد کامل اطلاعات ورودی، محافظت کامل از شبکه شرکت در برابر تأثیرات خارجی. در حال حاضر، فایروال‌هایی مانند Sun Screen، SKIPbridge و Pandora برای مطابقت با مشخصات توسعه‌یافته مطابق با مواد راهنمای فنی، مطابق با قانون قابل اجرا تأیید شده‌اند. با این حال، صدور گواهینامه آنها بدون مبارزه نبود.

1. صدور مجوز در زمینه امنیت اطلاعات

1.1 نهاد صدور مجوز - FSTEC روسیه

الزامات مجوز برای متقاضی مجوز برای انجام فعالیت های توسعه و تولید SZKI (از این پس مجوز نامیده می شود):

1- متقاضی مجوز دارای حداقل دو متخصص با تحصیلات عالی حرفه ای در زمینه امنیت اطلاعات فنی یا آموزش عالی فنی یا متوسطه حرفه ای (فنی) باشد که در زمینه توسعه و (یا) تولید امنیت اطلاعات دوره های بازآموزی یا آموزش پیشرفته را گذرانده باشند. امکانات؛ متخصص تضمین حفاظت از کاربر

2. در دسترس بودن محل برای اجرای نوع مجوز فعالیت که الزامات اسناد فنی و فناوری، استانداردهای ملی و اسناد روش‌شناختی در OIZ را برآورده می‌کند و به حق مالکیت یا سایر دلایل قانونی متعلق به متقاضی مجوز است.

3. وجود بر روی حق مالکیت یا بر اساس قانونی دیگر تجهیزات کنترل و اندازه گیری لازم برای اجرای نوع مجوز فعالیت (که تأیید اندازه شناسی (کالیبراسیون) و علامت گذاری را مطابق با قوانین فدراسیون روسیه انجام داده است. تجهیزات تولید و آزمایش؛

4. در دسترس بودن برنامه های در نظر گرفته شده برای اجرای نوع مجوز فعالیت (از جمله ابزارهای نرم افزاری برای توسعه SZKI) برای رایانه های الکترونیکی و پایگاه های داده متعلق به متقاضی مجوز بر اساس حق مالکیت یا سایر دلایل قانونی.

5. در دسترس بودن مجوزهای متعلق به متقاضی بر اساس مالکیت یا به دلایل قانونی دیگر، مستندات فنی و فناوری، مستندات حاوی استانداردهای ملی و مدارک روشی لازم برای اجرای نوع فعالیت دارای مجوز مطابق فهرست مصوب FSTEC روسیه؛

6. وجود یک سیستم کنترل تولید، شامل قوانین و رویه های بررسی و ارزیابی سیستم برای توسعه SZKI، با در نظر گرفتن تغییرات ایجاد شده در طراحی و مستندات طراحیبرای محصولات در حال توسعه

7. در دسترس بودن یک سیستم کنترل تولید، از جمله قوانین و رویه ها برای بررسی و ارزیابی سیستم تولید SZKI، ارزیابی کیفیت محصولات و تغییر ناپذیری. پارامترها را تنظیم کنید، حسابداری تغییرات ایجاد شده در اسناد فنی و طراحی محصولات تولیدی، حسابداری محصولات نهایی Kiyaev V., Granichin O.// امنیت سیستم های اطلاعاتی// دانشگاه آزاد ملی "INTUIT" * 2016 //صص 105-106

1.2 نهاد صدور مجوز - FSB روسیه

الزامات صدور مجوز برای متقاضی مجوز عبارتند از:

1 افراد در ایالت متقاضی مجوز برای شغل اصلی طبق جدول پرسنل پرسنل واجد شرایط زیر:

2. رئیس و (یا) شخص مجاز به مدیریت کار بر روی نوع فعالیت دارای مجوز که دارای تحصیلات حرفه ای عالی در زمینه امنیت اطلاعات مطابق با "طبقه بندی تخصصی همه روسی" و (یا) هستند. گذراندن دوره بازآموزی در یکی از تخصص های این گرایش (مدت استاندارد بیش از 500 ساعت کلاس درس) و همچنین داشتن حداقل 5 سال تجربه در زمینه کاری انجام شده برای نوع فعالیت مجاز؛

3. کارگران مهندسی و فنی (حداقل دو نفر) که دارای تحصیلات حرفه ای عالی در زمینه امنیت اطلاعات مطابق با "طبقه بندی کننده تخصص های همه روسی" هستند و (یا) در این تخصص بازآموزی را گذرانده اند (دوره استاندارد: بیش از 100 ساعت کلاس درس)؛

4. در دسترس بودن محل برای اجرای نوع فعالیت دارای مجوز که دارای الزامات اسناد فنی و فناوری، استانداردهای ملی و اسناد روش‌شناسی در زمینه GI باشد و به حق مالکیت یا بر مبنای قانونی دیگر متعلق به متقاضی مجوز باشد. ;

5. متقاضی مجوز، بر اساس حق مالکیت یا بر اساس قانونی دیگر، دارای تجهیزات کنترل و اندازه گیری (که تأیید اندازه گیری (کالیبراسیون) و علامت گذاری را مطابق با قوانین فدراسیون روسیه گذرانده است)، تولید، تجهیزات تست دارد. و سایر اشیاء لازم برای اجرای نوع مجوز فعالیت؛

6. در دسترس بودن برنامه های در نظر گرفته شده برای اجرای نوع مجوز فعالیت (از جمله ابزارهای نرم افزاری برای توسعه SZKI) برای رایانه های الکترونیکی و پایگاه های داده متعلق به متقاضی مجوز بر اساس حق مالکیت یا سایر دلایل قانونی.

7. در دسترس بودن ابزارهای پردازش اطلاعات تایید شده برای الزامات امنیت اطلاعات مورد استفاده برای توسعه و تولید SCCI، مطابق با الزامات حفاظت از اطلاعات.

8. وجود یک سیستم کنترل تولید، شامل قوانین و رویه های بررسی و ارزیابی سیستم برای توسعه SZKI، با در نظر گرفتن تغییرات ایجاد شده در طراحی و اسناد طراحی برای محصولات در حال توسعه.

9. وجود یک سیستم کنترل تولید، شامل قوانین و رویه ها برای بررسی و ارزیابی سیستم تولید SZKI، ارزیابی کیفیت محصولات و عدم تغییر پارامترهای تعیین شده، حسابداری تغییرات ایجاد شده در اسناد فنی و طراحی برای تولید. محصولات حسابداری برای محصولات نهایی Snytikov AA صدور مجوز و صدور گواهینامه در زمینه امنیت اطلاعات.-M: Helios ARV, 2012 //pp 223-224

2. گواهی امنیت اطلاعات

2.1 ساختار سازمانی سیستم صدور گواهینامه

ساختار سازمانی سیستم صدور گواهینامه توسط:

1. کمیسیون فنی دولتی روسیه (سازمان فدرال برای صدور گواهینامه ابزارهای امنیت اطلاعات).

2. بدنه مرکزی سیستم صدور گواهینامه امنیت اطلاعات.

3. نهادهای صدور گواهی برای امنیت اطلاعات.

4. مراکز آزمایش (آزمایشگاه).

5. متقاضیان (توسعه دهندگان، تولیدکنندگان، تامین کنندگان، مصرف کنندگان ابزار امنیت اطلاعات).

2 کمیسیون فنی دولتی روسیه در صلاحیت خود وظایف زیر را انجام می دهد:

1. ایجاد سیستم صدور گواهینامه برای ابزارهای امنیت اطلاعات و ایجاد قوانین صدور گواهینامه انواع خاصی از ابزارهای امنیت اطلاعات در این سیستم.

2. سازماندهی عملکرد سیستم صدور گواهینامه ابزارهای امنیت اطلاعات.

3. فهرستی از ابزارهای امنیت اطلاعات را تعیین می کند صدور گواهینامه اجباریدر این سیستم؛

4. ضوابط اعتباربخشی و صدور مجوز برای کارهای گواهی را تعیین می کند.

5. سازماندهی و تأمین مالی توسعه اسناد نظارتی و روش شناختی سیستم گواهی امنیت اطلاعات.

6. تعیین بدنه مرکزی سیستم صدور گواهینامه ابزارهای امنیت اطلاعات (در صورت لزوم) یا انجام وظایف این نهاد.

7. اسناد نظارتی در مورد امنیت اطلاعات را برای انطباق با آنها تأیید می کند که ابزارهای امنیت اطلاعات در سیستم انجام می شود و اسناد روش شناختی برای آزمایش های صدور گواهینامه.

8. ارگان های صدور گواهینامه و مراکز آزمایش (آزمایشگاه ها) را اعتبار می بخشد، برای آنها برای حق انجام انواع خاصی از کار مجوز صادر می کند.

9. منجر می شود ثبت نام دولتیشرکت کنندگان و اشیاء گواهینامه؛

10. کنترل و نظارت دولتی را انجام می دهد و روشی را برای کنترل بازرسی در مورد انطباق با قوانین صدور گواهینامه و ابزارهای امنیت اطلاعات گواهی شده ایجاد می کند.

11. درخواست تجدید نظر در مورد مسائل صدور گواهینامه را بررسی می کند.

12. یک سیستم صدور گواهینامه و یک علامت انطباق را برای ثبت دولتی به استاندارد دولتی روسیه ارائه می دهد.

13. سازماندهی انتشار دوره ای اطلاعات گواهینامه.

14. با مربوطه در تعامل است ارگان های مجازسایر کشورها و سازمان های بین المللی در مورد مسائل صدور گواهینامه، در مورد به رسمیت شناختن گواهی های بین المللی و خارجی تصمیم می گیرد.

15. سازماندهی آموزش و صدور گواهینامه کارشناسان - حسابرسان.

16. گواهینامه ها و مجوزهای استفاده از علامت انطباق را صادر می کند.

17. گواهی های صادره را معلق یا ابطال می کند.

2.2 روش صدور گواهینامه

مراحل صدور گواهینامه شامل مراحل زیر است:

تشکیل و رسیدگی به درخواست برای صدور گواهینامه ابزارهای امنیت اطلاعات؛ آزمایش ابزارهای امنیت اطلاعات گواهی شده و صدور گواهینامه تولید آنها؛

بررسی نتایج آزمون، اجرا، ثبت و صدور گواهینامه و مجوز برای حق استفاده از علامت انطباق.

اجرای کنترل و نظارت دولتی، کنترل بازرسی بر رعایت قوانین صدور گواهینامه اجباری و ابزارهای امنیت اطلاعات گواهی شده.

اطلاع رسانی در مورد نتایج صدور گواهینامه ابزارهای امنیت اطلاعات؛

رسیدگی به درخواست تجدیدنظر

ارائه و رسیدگی به درخواست صدور گواهینامه ابزارهای امنیت اطلاعات.

برای دریافت گواهی، متقاضی درخواستی (ضمیمه 1) را برای آزمایش به کمیسیون فنی دولتی روسیه ارسال می کند که نشان دهنده طرح صدور گواهینامه، استانداردها و سایر اسناد نظارتی برای انطباق با الزاماتی است که باید صدور گواهینامه انجام شود.

کمیسیون فنی دولتی روسیه، ظرف یک ماه پس از دریافت درخواست، تصمیمی برای صدور گواهینامه (ضمیمه 2) برای متقاضی، به مرجع صدور گواهینامه و مرکز آزمایش (آزمایشگاه) تعیین شده برای صدور گواهینامه ارسال می کند. بنا به درخواست متقاضی، مرجع صدور گواهینامه و مرکز آزمایش (آزمایشگاه) قابل تغییر می باشد.

متقاضی موظف است پس از دریافت تصمیم، ابزارهای امنیت اطلاعات را مطابق با مشخصات این ابزار و همچنین مجموعه ای از مستندات فنی و عملیاتی را مطابق با مقررات تنظیمی به مرجع صدور گواهینامه و مرکز آزمایش (آزمایشگاه) ارائه دهد. اسناد برای ESKD، ESPD برای ابزار امنیت اطلاعات گواهی شده.

تست ابزارهای تایید شده امنیت اطلاعات در مراکز آزمون (آزمایشگاه).

تست ابزارهای تایید شده امنیت اطلاعات بر روی نمونه‌هایی انجام می‌شود که طراحی، ترکیب و فناوری ساخت آن‌ها باید مطابق با برنامه‌ها و روش‌های آزمایشی که با متقاضی و مرجع تایید شده تایید شده برای مصرف‌کننده، مشتری عرضه می‌شود، یکسان باشد. . اسناد فنی و عملیاتی برای وسایل سریال امنیت اطلاعات باید دارای حرف کمتر از "O1" (طبق ESKD) باشد.

تعداد نمونه ها، روش انتخاب و شناسایی آنها باید با الزامات اسناد نظارتی و روش شناختی مطابقت داشته باشد. این گونهابزار حفاظت از اطلاعات

اگر در زمان صدور گواهینامه، مراکز آزمایش (آزمایشگاه) وجود نداشته باشد، مرجع صدور گواهی، امکان، مکان و شرایط انجام آزمایشاتی را تعیین می کند که از عینیت نتایج آنها اطمینان حاصل کند.

شرایط آزمون ها بر اساس قرارداد بین متقاضی و مرکز آزمون (آزمایشگاه) تعیین می شود.

بنا به درخواست متقاضی، باید به نمایندگان وی فرصت داده شود تا با شرایط نگهداری و تست نمونه ابزارهای امنیت اطلاعات در مرکز تست (آزمایشگاه) آشنا شوند. Kiyaev V., Granichin O.// امنیت سیستم های اطلاعاتی// دانشگاه آزاد ملی "INTUIT" * 2016 //صص 105-106

نتایج آزمون در پروتکل‌ها و نتیجه‌گیری‌ها ثبت می‌شود که توسط مرکز آزمایش (آزمایشگاه) به مرجع صدور گواهینامه و در یک نسخه برای متقاضی ارسال می‌شود.

هنگام ایجاد تغییرات در طراحی (ترکیب) ابزارهای امنیت اطلاعات یا فناوری تولید آنها، که ممکن است بر ویژگی های ابزارهای امنیت اطلاعات تأثیر بگذارد، متقاضی (توسعه دهنده، سازنده، تأمین کننده) این موضوع را به سازمان صدور گواهینامه اطلاع می دهد. دومی در مورد نیاز به آزمایش های جدید این ابزارهای امنیت اطلاعات تصمیم می گیرد.

صدور گواهینامه ابزارهای امنیت اطلاعات وارداتی مطابق با قوانین داخلی انجام می شود.

نتیجه

و بنابراین، این یک روش ارزیابی انطباق است که از طریق آن یک سازمان مستقل از سازنده (فروشنده) و مصرف کننده (خریدار) به طور کتبی تأیید می کند که محصولات با الزامات تعیین شده مطابقت دارند. اگر ما در مورد صدور گواهینامه در رابطه با ابزارهای امنیت اطلاعات صحبت می کنیم، پس این فعالیتی برای تأیید انطباق آنها با الزامات مقررات فنی، استانداردهای ملی یا سایر اسناد نظارتی در مورد امنیت اطلاعات است.

خود سیستم صدور گواهینامه توسط FSTEC روسیه، که صلاحیت مراجع صدور گواهینامه امنیت اطلاعات معتبر و آزمایشگاه‌های آزمایش را دارد، نمایندگی می‌شود.

کل سیستم صدور گواهینامه تضمین کننده دستیابی به امنیت ملی در زمینه اطلاعات است. شکل گیری و اجرای یک سیاست واحد علمی، فنی و صنعتی در زمینه اطلاع رسانی اهمیت کمتری ندارد. همچنین ترویج شکل‌گیری بازاری برای فناوری‌های اطلاعات ایمن و ابزارهای پشتیبانی آنها، تنظیم و کنترل توسعه و همچنین تولید بعدی ابزارهای امنیت اطلاعات، کمک به مصرف‌کنندگان در انتخاب شایسته ابزارهای امنیت اطلاعات، حفاظت مصرف کننده از سوء نیت پیمانکار (فروشنده، سازنده)، تایید شاخص های کیفیت محصولات.

صدور مجوز - فعالیت های مربوط به صدور مجوزها، صدور مجدد اسناد تأیید کننده در دسترس بودن مجوزها، تعلیق و تمدید مجوزها، لغو مجوزها و کنترل مراجع صدور مجوز بر انطباق توسط دارندگان مجوز در اجرای فعالیت های دارای مجوز با الزامات مربوط به مجوز. و شرایط

مجوز - مجوز ویژه برای انجام نوع خاصی از فعالیت مشروط به رعایت الزامات و شرایط صدور مجوز که توسط مرجع صدور مجوز برای یک شخص حقوقی یا کارآفرین فردی صادر می شود.

فعالیت های صدور مجوز در زمینه امنیت اطلاعات توسط FSB و FSTEC روسیه انجام می شود. فعالیت های دارای مجوز در زمینه حفاظت از اطلاعات محرمانه را در نظر بگیرید.

FSB روسیه:

1. توسعه و (یا) تولید وسایل حفاظت از اطلاعات محرمانه (در صلاحیت FSB)

2. توسعه، تولید، فروش و خرید به منظور فروش وسایل فنی خاص که برای کسب اطلاعات مخفیانه توسط کارآفرینان فردی و اشخاص حقوقی درگیر در فعالیت های کارآفرینی در نظر گرفته شده است.

3. فعالیت برای شناسایی لوازم برقی، در نظر گرفته شده برای به دست آوردن اطلاعات مخفیانه، در اماکن و وسایل فنی (به استثنای مواردی که فعالیت مشخص شده برای رفع نیازهای شخصی یک شخص حقوقی یا یک کارآفرین فردی انجام شود)

4. فعالیت برای توزیع ابزارهای رمزگذاری (رمز نگاری).

5. فعالیت برای نگهداری وسایل رمزنگاری (رمزنگاری).

6. ارائه خدمات در زمینه رمزگذاری اطلاعات

7. توسعه، تولید رمزنگاری (رمزنگاری) به معنی محافظت شده با استفاده از ابزارهای رمزگذاری (رمز نگاری) سیستم های اطلاعاتی، سیستم های مخابراتی.

کتابشناسی - فهرست کتب

1 . کیایف وی. گرانچین او. // امنیت سیستم های اطلاعاتی// دانشگاه آزاد ملی "INTUIT" * 2016 //صفحه 105-106

2. Snytikov A.A. صدور مجوز و صدور گواهینامه در زمینه امنیت اطلاعات.-M: Helios ARV, 2012 //pp 223-224

3. سیستم صدور گواهی برای حفاظت از اطلاعات رمزنگاری شده: شماره ROSS RU.0001.030001 مورخ 15 نوامبر 2012

4. مقالات A. Kirina A. صدور مجوز و صدور گواهینامه در زمینه امنیت اطلاعات

5. اصطلاحات و تعاریف در زمینه امنیت اطلاعات مسکو 2011

میزبانی شده در Allbest.ru

...

اسناد مشابه

اصول اساسی که امنیت اطلاعات باید تضمین شود، چارچوب نظارتی آن است. ارگان های دولتی RF، کنترل فعالیت ها در زمینه امنیت اطلاعات، اسناد نظارتی در این زمینه. راه های حفاظت از اطلاعات

چکیده، اضافه شده در 2014/09/24


ابزارها و روش هایی برای حل مشکلات مختلف حفاظت از اطلاعات، جلوگیری از نشت، تضمین امنیت اطلاعات محافظت شده. ابزارهای فنی (سخت افزاری)، نرم افزاری، سازمانی، سخت افزاری و نرم افزاری مختلط حفاظت اطلاعات.

چکیده، اضافه شده در 2010/05/22


پشتیبانی نظارتی از امنیت اطلاعات در فدراسیون روسیه. رژیم حقوقی اطلاعات نهادهایی که امنیت اطلاعات فدراسیون روسیه را تضمین می کنند. خدماتی که حفاظت از اطلاعات را در سطح سازمانی سازماندهی می کند. استانداردهای امنیت اطلاعات

ارائه، اضافه شده در 2014/01/19


روش های اصلی دسترسی غیرمجاز به اطلاعات در سیستم های کامپیوتریو محافظت از آن اقدامات سازمانی، قانونی و نظارتی بین المللی و داخلی برای تضمین امنیت اطلاعات فرآیندهای پردازش اطلاعات.

چکیده، اضافه شده در 2015/04/09


اطلاعات به عنوان مهمترین بخش سیستم ارتباطی مدرن است. مقررات قانونی در زمینه امنیت اطلاعات. اسناد هنجاری-حقوقی تنظیم کننده حفاظت از اطلاعات. اشکال سازمانی و قانونی حفاظت از اسرار دولتی.

کار کنترل، اضافه شده در 11/03/2009


توصیه هایی برای توسعه مشاغل کوچک حمایت از حقوق مالکیت، توسعه نهادهای بازار. مالیات و اداره آنها. سیستم صدور مجوز و مجوز. چک، جریمه و مجازات. دسترسی به اطلاعات و باز بودن دولت

چکیده، اضافه شده در 2009/05/31


اهداف صدور مجوز در زمینه حفاظت محیطو استفاده از منابع طبیعی فهرست انواع مجوزها - اسنادی که حق استفاده از یک نوع منابع طبیعی را در اختیار دارند مکان تعیین شدهو تحت شرایط خاصی.

تست، اضافه شده در 2012/12/19


صدور مجوز به عنوان یک موسسه حقوق مدنی. برنامه دولتخصوصی سازی شرکت های دولتی و شهری در روسیه. کارکرد خدمات فدرالدر زمینه نظارت در حوزه حمل و نقل صدور مجوز فعالیت کارآفرینی.

مفهوم اطلاعات، منابع اطلاعاتی، جایگاه آنها در حقوق مدرن. نشانه های اطلاعات محدود رژیم حقوقی حمایت که اسرار دولتی، رسمی و حرفه ای را تشکیل می دهد. اطمینان از عدم دسترسی به اشخاص ثالث

چکیده، اضافه شده در 1392/12/13


صدور مجوز به عنوان یک فرم مقررات دولتی. نحوه صدور مجوز فعالیت بانکها و مؤسسات اعتباری و مالی غیربانکی. فعالیت های صدور مجوز برای طراحی و ساخت ساختمان ها و بررسی های مهندسی.

صدور مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه

مطابق سال های گذشتهچارچوب قانونی در زمینه امنیت اطلاعات مکانیسم های پرهزینه، گیج کننده و متناقضی را تشکیل داده است که ویژگی های پردازش اطلاعات محرمانه در زمینه های مختلف فعالیت یا توانایی اپراتورها برای رعایت الزامات تعیین شده را در نظر نمی گیرد. علاوه بر این، الزامات اپراتورهای سیستم های اطلاعاتی که اطلاعات محرمانه، از جمله داده های شخصی، توسط FSTEC روسیه را پردازش می کنند، شامل مکانیزمی از مقررات دولتی مانند مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه است که اکثر اپراتورها برای آن کافی نیستند. منابع مادی و نیروی کار این امر به ویژه در مورد سازمان های بودجه در زمینه آموزش، مراقبت های پزشکی، مسکن و خدمات عمومی صادق است. مشکلات حقوقی به دلیل فقدان قوانین در قوانین فدرال در مورد حفاظت از اطلاعات محرمانه، به عنوان مثال، اسرار رسمی، اسرار حرفه ای، مقررات مبهم، و همچنین تغییرات و اضافات مکرر به قانون فدرال شماره 152 "در مورد داده های شخصی" به وجود آمد. ، سایر اقدامات قانونی نظارتی. در عین حال، قوانین فدرال نیازمند مشخصات و شفاف سازی بیشتر با احکام دولت فدراسیون روسیه و اسناد روش شناختی FSTEC و FSB روسیه است.

تصویب فرمان شماره 79 "در مورد صدور مجوز فعالیت برای حفاظت فنی اطلاعات محرمانه" توسط دولت فدراسیون روسیه در 3 فوریه 2012 با تصویب "مقررات مجوز فعالیت برای حفاظت فنی اطلاعات محرمانه" (از این پس به عنوان مقررات) و لغو قطعنامه قبلی 15 اوت 2006 شماره 504، بار دیگر این سوال را مطرح می کند که چه چیزی در آیین نامه مذکور جدید است و آیا FSTEC روسیه در صورتی که سازمان از اطلاعات محرمانه محافظت کند نیاز به مجوز دارد. اطلاعات "برای نیازهای خود"، و آیا خدمات برای پول ارائه نمی دهد؟

مطابق بند 1 آیین نامه، روش صدور مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه (که حاوی اطلاعاتی که یک راز دولتی نیست، اما مطابق با قوانین فدراسیون روسیه محافظت می شود) را که توسط اشخاص حقوقی انجام می شود، تعیین می کند. کارآفرینان فردی

و بلافاصله این سوال با اصطلاح "اطلاعات محرمانه" مطرح می شود که در مقررات آمده است و در اسناد FSTEC روسیه استفاده می شود ، اما در قانون فدرال وجود ندارد. قانون فدرال شماره 149 مورخ 27.07. 2006" در مورد اطلاعات فناوری اطلاعاتو در مورد حفاظت از اطلاعات» در بند 7 هنر. 2 تنها تعریفی از محرمانه بودن اطلاعات ارائه می دهد که برای شخصی که به آن دسترسی دارد اجباری است اطلاعات خاص، الزام به عدم انتقال چنین اطلاعاتی به اشخاص ثالث بدون رضایت مالک آن. محرمانگی در لاتین به معنای "اعتماد" است (یعنی با انتقال چنین اطلاعاتی، ما امیدواریم که امنیت و عدم گسترش آن وجود داشته باشد، زیرا افشای آن ممکن است آسیب خاصی به طرفین وارد کند). توجه داشته باشید که عدم وضوح هر یک از اصطلاحات و همچنین تغییرات گاهی اوقات غیر منطقی در تعاریف و مفاهیم قانون اطلاعاتبهبود نیافتن مقررات قانونی v حوزه اطلاعات. در همان زمان، FSTEC روسیه همچنان از اصطلاح "اطلاعات محرمانه" استفاده می کند، که قانونگذاران قبلا آن را رها کرده اند.

طبق قانون فدراسیون روسیه، ویژگی های اجباری اطلاعات با دسترسی محدود باید به شرح زیر باشد:

• اطلاعات به دلیل ناشناخته بودن برای اشخاص ثالث دارای ارزش واقعی یا بالقوه برای مالک است. چنین اشخاصی ممکن است دولتی، قانونی یا اشخاص حقیقی;
• بدون اطلاعات دسترسی رایگانبه صورت قانونی امکان ناشناخته نگه داشتن آن برای اشخاص ثالث توسط قانون فدرال ایجاد شده است.
• صاحب اطلاعات اقداماتی را برای محافظت از آن انجام می دهد.

در 6 مارس 1997، رئیس جمهور فدراسیون روسیه فرمان شماره 188 را صادر کرد که بر اساس آن "فهرست اطلاعات محرمانه" تأیید شد که بر اساس آن اطلاعات زیر به عنوان اطلاعات محرمانه طبقه بندی شدند:

• در مورد حقایق، رویدادها و شرایط حریم خصوصییک شهروند که اجازه می دهد شخصیت خود (داده های شخصی) را شناسایی کند، به استثنای اطلاعاتی که در رسانه ها در موارد تعیین شده توسط قوانین فدرال منتشر می شود.
• تشکیل راز تحقیقات و مراحل قانونی؛
• دسترسی به آن توسط مقامات دولتی مطابق با قانون مدنی فدراسیون روسیه و قوانین فدرال محدود شده است ( راز رسمی);
• مرتبط با فعالیت حرفه ای، دسترسی به آن مطابق با قانون اساسی فدراسیون روسیه و قوانین فدرال (پزشکی، اسناد رسمی، وکیل مشتری، مکاتبات، مکالمات تلفنی, مرسولات پستی، پیام های تلگرافی یا دیگر و غیره)؛
• مربوط به فعالیت های تجاری، دسترسی به آنها مطابق با قانون مدنی فدراسیون روسیه و قوانین فدرال (راز تجاری) محدود است.
• در مورد ماهیت یک اختراع، مدل کاربردی یا طرح صنعتی قبل از انتشار رسمی اطلاعات در مورد آنها.

فرمان جدید همچنین اصطلاح "حفاظت فنی از اطلاعات محرمانه" (از این پس TKKI نامیده می شود) را روشن می کند که مطابق بند 2 آیین نامه به این معنی است:

انجام کار و (یا) ارائه خدمات برای محافظت از آن در برابر دسترسی غیرمجاز، از نشت از طریق کانال های فنیو همچنین از تأثیرات ویژه بر چنین اطلاعاتی به منظور از بین بردن، تحریف یا مسدود کردن دسترسی به آنها.

به این ترتیب ما داریم صحبت می کنیمیا در مورد انجام کار در TZKI یا ارائه خدمات در TZKI یا فعالیت های مشترک.

هنگام انجام فعالیت هایی برای حفاظت فنی از اطلاعات محرمانه انواع کارها و خدمات زیر مشمول مجوز می باشند:

• کنترل حفاظت از اطلاعات محرمانه در برابر نشت از طریق کانال های فنی در:

- وسایل و سیستم های اطلاعاتی سازی؛

ابزارهای فنی (سیستم هایی) که محرمانه پردازش نمی شوند

اطلاعات، اما در محلی که در آن پردازش می شود قرار می گیرد.

مکانهایی با وسایل (سیستم)هایی که باید محافظت شوند.

مکان هایی که برای انجام مذاکرات محرمانه در نظر گرفته شده است (از این پس به عنوان مکان های حفاظت شده نامیده می شود).

• کنترل امنیت اطلاعات محرمانه از دسترسی غیرمجاز و اصلاح آن در ابزارها و سیستم های اطلاعاتی.
• تست های صدور گواهینامه برای انطباق با الزامات امنیت اطلاعات محصولات مورد استفاده برای محافظت از اطلاعات محرمانه (وسایل فنی حفاظت از اطلاعات، ابزار فنی امن پردازش اطلاعات، ابزار فنی نظارت بر اثربخشی اقدامات حفاظت از اطلاعات، نرم افزار (نرم افزار و سخت افزار) ابزار حفاظت اطلاعات (از این پس IPS نامیده می شود)، نرم افزار محافظت شده (نرم افزار و سخت افزار) ابزار پردازش اطلاعات، نرم افزار (نرم افزار و سخت افزار) ابزار کنترل امنیت اطلاعات).
• تست های صدور گواهینامه و صدور گواهینامه برای انطباق با الزامات امنیت اطلاعات:

اماکن حفاظت شده؛

• طراحی امن:

- وسایل و سیستم های اطلاعاتی سازی؛

محل هایی با وسایل (سیستم های) اطلاعاتی مشمول حفاظت؛

اماکن حفاظت شده؛

• نصب، نصب، تست، تعمیر ابزار امنیت اطلاعات (ابزار امنیت اطلاعات فنی، ابزار فنی حفاظت شده پردازش اطلاعات، ابزار فنی نظارت بر اثربخشی اقدامات حفاظت از اطلاعات، نرم افزار (نرم افزار و سخت افزار) ابزار حفاظت اطلاعات، نرم افزار حفاظت شده (نرم افزار و سخت افزار) ابزار پردازش اطلاعات، نرم افزار (نرم افزار و سخت افزار) ابزار کنترل امنیت اطلاعات).

در عین حال، بهره برداری از تسهیلات امنیت اطلاعات، در مقابل عملیات ابزار حفاظت رمزنگاری، جایی که مرجع صدور مجوز FSB روسیه است، برای نوع مجوز فعالیت اعمال نمی شود. این موضع FSTEC روسیه سؤالاتی را ایجاد می کند. چرا تنها مراحل اولیه ایجاد سیستم حفاظتی مجوز داده شده است - طراحی سیستم حفاظتی و نصب تجهیزات حفاظتی؟ چرا کار روزانه متخصصان و سرویس های امنیت اطلاعات در مورد بهره برداری و کنترل اثربخشی سیستم امنیت اطلاعات مشمول صدور مجوز نمی شود؟ از این گذشته ، اهمیت آن کمتر از ایجاد یک سیستم حفاظتی نیست ، زیرا وظایف صدور مجوز انواع خاصی از فعالیت ها پیشگیری ، کشف و سرکوب تخلفات توسط یک شخص حقوقی ، رئیس آن و سایر موارد است. مقاماتالزامات، که توسط قانون فدرال 4.5.2011 تعیین شده است. شماره 99-FZ "در مورد مجوز انواع خاصی از فعالیت ها"، سایر قوانین فدرال و سایر اقدامات قانونی نظارتی فدراسیون روسیه که مطابق با آنها تصویب شده است.

به موجب بند 1 هنر. 49 قانون مدنی فدراسیون روسیه، یک شخص حقوقی می تواند در انواع خاصی از فعالیت ها که لیست آنها توسط قانون تعیین می شود، شرکت کند، تنها بر اساس مجوز ویژه(مجوزها). انواع فعالیت هایی که برای آنها مجوز لازم است در قانون فدرال 4 مه 2011 N 99-FZ "در مورد صدور مجوز انواع خاصی از فعالیت ها"، بند 5 هنر ذکر شده است. 12 مورد از این نوع و فعالیت ها در TKRI می باشد.

مفهوم "خدمات" مستلزم نوع خاصی از قرارداد است (فصل 39 ، مواد 779-783 قانون مدنی فدراسیون روسیه) ، یعنی معامله چند جانبه ای که در آن باید طرف دیگری وجود داشته باشد (بند 1 ماده 154 قانون مدنی فدراسیون روسیه). قانون مدنی فدراسیون روسیه). اما مفهوم "کار" در قانون تعریف نشده است و فقط می تواند بر اساس معانی زیادی در زبان روسی تعیین شود: "شغل، کار، فعالیت".

بنابراین، از عبارت فوق، می توان نتیجه گرفت که فعالیت های TZKI هم برای اشخاص ثالث ("خدمات") و هم برای نیازهای خود ("کارها") مشمول مجوز هستند.

بر این اساس، چنانچه سازمانی در چارچوب حفاظت از اطلاعات محرمانه داخلی، اقدام به حفاظت فنی خود کند، موظف به اخذ مجوز مناسب می باشد. به عنوان مثال، در رابطه با حفاظت از داده های شخصی، اپراتور "نیازهای خود" برای حفاظت از آنها ندارد و به موجب قانون نمی تواند وجود داشته باشد. تنها هدف قانون فدرال شماره 152 "در مورد داده های شخصی" تضمین حمایت از حقوق و آزادی های یک فرد و شهروند در پردازش داده های شخصی وی است. قانون به اهداف دیگری (از جمله رفع نیازهای اپراتورها) اشاره نمی کند. علاوه بر این، قانون فدرال 99-FZ "در مورد صدور مجوز انواع خاصی از فعالیت ها"، فعالیت های دارای مجوز شامل فعالیت هایی است که ممکن است به حقوق، منافع مشروع و سلامت شهروندان منجر شود. قانون بین منافع موضوع داده های شخصی (کارمند) و موضوع داده های شخصی (شخص ثالث) در مورد حق قانونی یک شهروند برای رازداری شخصی تمایزی قائل نمی شود. قانونگذار (از طریق موسسه صدور مجوز) از هر موضوعی از داده های شخصی در برابر عواقب عملکرد بی کیفیت کار در TZKI محافظت می کند.

مقررات اداری FSTEC روسیه برای اجرا تابع حالتدر مورد مجوز فعالیت برای TZKI (از این پس به عنوان مقررات اداری نامیده می شود)، که به دستور 28.08.07 به تصویب رسید. №181 با آخرین تغییراتمورخ 30 سپتامبر 2011، مطابق با دستور شماره 515، شرایط و ترتیب اقدامات (رویه های اداری) FSTEC روسیه در اعمال اختیارات مجوز فعالیت های تحت TZKI تعیین می شود. صدور مجوز منوط به فعالیت های TZKI است که توسط اشخاص حقوقی و کارآفرینان فردی انجام می شود.

تحلیل موقعیت مقررات ادارینشان می دهد که روند اخذ مجوز برای TZKI زمان، تلاش و هزینه زیادی می طلبد. برای دریافت مجوز فعالیت های TZKI، تایید امکان انجام الزامات مجوز و شرایط تعیین شده توسط آیین نامه ضروری است.

الزامات مجوز برای متقاضی مجوز برای انجام فعالیت های تحت TZKI (بند 5 مقررات):

الف) متقاضی مجوز دارای یک شخص حقوقی است - متخصصانی که در کارکنان متقاضی مجوز هستند که دارای تحصیلات عالی حرفه ای در زمینه امنیت اطلاعات فنی یا آموزش عالی فنی یا متوسطه حرفه ای (فنی) بوده و دوره های بازآموزی یا پیشرفته را گذرانده اند. آموزش امنیت اطلاعات فنی

ب) متقاضی مجوز (دارنده مجوز) دارای مکان هایی برای اجرای فعالیت مجاز است که استانداردها و الزامات فنی حفاظت فنی از اطلاعات تعیین شده توسط قوانین قانونی نظارتی فدراسیون روسیه را برآورده می کند و از نظر حق مالکیت یا متعلق به او است. بر مبنای قانونی دیگر؛

ج) وجود، بر اساس هر مبنای قانونی، تجهیزات تولید، آزمایش و کنترل و اندازه گیری که تأیید اندازه گیری (کالیبراسیون)، علامت گذاری و گواهینامه را مطابق با قوانین فدراسیون روسیه گذرانده است.

د) استفاده از سیستم های خودکاری که اطلاعات محرمانه را پردازش می کنند، و همچنین ابزارهای محافظت از چنین اطلاعاتی که رویه ارزیابی انطباق را گذرانده اند (تأیید شده و (یا) مطابق با الزامات امنیت اطلاعات) مطابق با قوانین فدراسیون روسیه؛

ه) استفاده از برنامه‌های رایانه‌های الکترونیکی و پایگاه‌های اطلاعاتی در نظر گرفته شده برای اجرای فعالیت دارای مجوز بر اساس توافق با دارنده حق آنها.

و) در دسترس بودن اقدامات قانونی نظارتی، اسناد نظارتی و روش شناختی و روش شناختی در مورد مسائل حفاظت فنی اطلاعات مطابق با لیست تعیین شده توسط FSTEC روسیه.

همانطور که مشاهده می کنید، برای تحقق شرایط فوق، یک سازمان باید حداقل 2 متخصص داشته باشد که در برخی موارد (در صورت نبود آموزش عالی تخصصی) نیاز به آموزش آنها در دوره های آموزشی پیشرفته در برنامه های درسیتوافق با FSTEC روسیه در مدت حداقل 72 ساعت. علاوه بر این، اسناد نظارتی مورد نیاز خواهد بود، از جمله دسترسی محدودو همچنین وجود تجهیزات تولید، آزمایش و کنترل و اندازه گیری بر اساس هر مبنای قانونی (مالک یا اجاره شده برای مدتی نه کمتر از مدت مجوز) که تأیید اندازه گیری (کالیبراسیون)، علامت گذاری و گواهینامه را مطابق با قانون فدراسیون روسیه. علاوه بر موارد فوق، طراحی، ایجاد و تأیید اشیاء اطلاعاتی (سیستم خودکار و محل امن) که برای پردازش اطلاعات محرمانه در نظر گرفته شده است، ضروری خواهد بود. این مشکل خرید تجهیزات کنترلی و اندازه گیری را بر اساس هر مبنای قانونی که دارنده مجوز برای ارائه خدمات برای TZKI نیازی ندارد، ایجاد می کند. علاوه بر این، بیشتر این الزامات از نظر اقتصادی بسیار پرهزینه هستند، در درجه اول برای سازمان های بودجه در زمینه آموزش، مراقبت های پزشکی، مسکن و خدمات عمومی.

عملکرد ایالتی فعالیت های صدور مجوز برای TZKI مطابق با بندهای 12-14 مقررات شامل رویه های اداری زیر است (شکل 1):

• اطلاع رسانی و مشاوره در مورد روش انجام یک عملکرد دولتی؛
• بررسی درخواست مجوز؛
• بررسی امکان تحقق الزامات و شرایط مجوز توسط متقاضی مجوز؛
• تصمیم گیری در مورد اعطای مجوز؛
• صدور سند تأیید وجود مجوز؛
• صدور المثنی و کپی سندی که وجود مجوز را تأیید می کند.
• تمدید مجوز؛
• صدور مجدد سندی که وجود مجوز را تأیید می کند.
• کنترل بر انطباق دارنده پروانه با الزامات و شرایط مجوز؛
• تعلیق، تمدید مجوز و لغو مجوز؛
• حفظ ثبت مجوزها؛
• ارائه اطلاعات از ثبت مجوزها.

یکی از مقامات FSTEC روسیه تصمیم به اعطای مجوز یا امتناع از اعطای مجوز در مدت زمانی که بیش از 45 روز از تاریخ دریافت درخواست مجوز و اسناد ضمیمه شده به آن نیست (بند 14.1 مقررات).

دلایل امتناع از اعطای مجوز (بند 14.3 آیین نامه):

وجود اطلاعات نادرست یا تحریف شده در اسناد ارائه شده توسط متقاضی مجوز؛

عدم انطباق متقاضی مجوز، اشیاء متعلق به وی یا مورد استفاده وی با الزامات و شرایط مجوز.

مجوز انجام فعالیت برای حفاظت فنی اطلاعات محرمانه برای مدت 5 سال اعطا می شود (بند 14.4 آیین نامه). در همان زمان، از 30 ژانویه 2011، میزان هزینه های دولتی تغییر کرد: برای ارائه مجوز - 2600 روبل و برای تمدید مجوز - 200 روبل.

همانطور که از طرح و رویه ها مشاهده می شود (شکل 1)، صدور مجوز TZKI توسط دفتر مرکزی FSTEC روسیه با مشارکت بخش های FSTEC روسیه انجام می شود. مناطق فدرالبر خلاف رویه های صدور مجوز FSB روسیه، که در آن صدور مجوز در حوزه مسئولیت آنها توسط بخش های سرزمینی FSB روسیه انجام می شود. مدت زمان پروسه صدور مجوز TZKI می تواند از دو تا شش ماه طول بکشد و هزینه های مالی قابل توجهی را به همراه داشته باشد، به ویژه در مورد دستیابی به تجهیزات کنترل و اندازه گیری در ملک.

آیا می توان از نیاز به مجوز فعالیت سازمان ها و بنگاه ها برای TZKI دور شد؟ توصیه های FSTEC روسیه به لزوم انعقاد توافق نامه با سازمانی که مجوز TZKI را دارد خلاصه می شود، در حالی که وجود این مجوز از اپراتور نیاز اجبارینیست.

توصیه های FSTEC روسیه برای انعقاد قرارداد با دارندگان مجوز با کمتر از 2000 مجوز در ثبت، مشکل حفاظت از اطلاعات محرمانه را حل نمی کند. بر اساس برآوردهای کارشناسان، تنها در روسیه 5 تا 7 میلیون اپراتور داده شخصی وجود دارد، بدون احتساب اپراتورهایی که انواع دیگر اطلاعات دسترسی محدود را که تحت حفاظت مطابق با قوانین فدرال قرار دارند، پردازش می کنند. علاوه بر این، قرارداد با دارنده پروانه معمولاً فقط برای مقدار معینی از کار و خدمات، به عنوان یک قاعده، فقط برای ایجاد یک سیستم برای حفاظت از اطلاعات محرمانه منعقد می شود.

چه خطراتی برای اکثر سازمان هایی که فاقد مجوز هستند و قصد ندارند تحت TZKI دریافت کنند یا خدمات سازمان هایی را که چنین مجوزی دارند با همان مجوز دریافت کنند، چیست. سیاست عمومی و مواضع FSTEC روسیه؟ هر سازمانی باید خودش تصمیم بگیرد که آیا اخذ چنین مجوزی ضروری است یا خیر. هیچ مجازات اداری برای انجام کار بدون مجوز برای فعالیت های TZKI توسط FSTEC روسیه وجود ندارد و در شرایط فعلی بعید است که این مجازات ها ظاهر شود، زیرا در شرایط ناقص قوانین ما در مورد حفاظت از اطلاعات محرمانه دادگاه ها هنجارهای قوانین فدرال و مسئولیت عدم رعایت آنها را به گونه ای متفاوت تفسیر می کنند. در نتیجه، شدت این فرمان با ماهیت غیر الزام آور اجرای آن جبران می شود. به عنوان مثال، ماده 14.1 قانون اداری فدراسیون روسیه مسئولیت "انجام فعالیت های کارآفرینی بدون ثبت نام دولتی یا بدون مجوز خاص (مجوز)" را پیش بینی می کند. طبق ماده 2 قانون مدنی فدراسیون روسیه، "فعالیت کارآفرینی یک فعالیت مستقل است که با مسئولیت شخصی انجام می شود و با هدف به دست آوردن سیستماتیک سود از استفاده از دارایی، فروش کالا، انجام کار یا تامین سود انجام می شود. خدمات اشخاصی که در این سمت به ترتیب مقرر در قانون ثبت نام کرده اند. این به تنهایی نشان می دهد که ماده 14.1 فقط می تواند برای کسانی اعمال شود که خدمات ارائه می دهند و برای تضمین امنیت اطلاعات کسب درآمد می کنند. دارندگان مجوز FSTEC و FSB روسیه. این مقاله هیچ ارتباطی با اکثریت قریب به اتفاق سازمان هایی که اطلاعات محرمانه را پردازش می کنند (اطلاعات محدود که یک سری اطلاعات دولتی نیست) ندارد. به گفته بسیاری از کارشناسان امنیت اطلاعات، برای اکثریت سازمان های غیردولتی غیر مرتبط با حفاظت از اسرار دولتی، تنها اشکال مدیریت حفاظت از اطلاعات محرمانه واقعاً از طریق استفاده توصیه ای از قوانین قانونی نظارتی، اسناد نظارتی و روش شناختی امکان پذیر است. تنظیم کننده ها، اسناد سازمانی و اداری سازمان ها، استفاده از سیستم ها و امنیت اطلاعات به نفع مقامات دولتی و شرکت های تابعه آنها توسعه یافته و آزمایش شده است. مبنای عملکرد سیستم های حفاظت از اطلاعات محرمانه در این مورد، انتخاب شخصی صاحب اطلاعات از میزان حفاظت و مکانیسم های حفاظتی آن است. در عین حال، با توجه به تجربه کشورهای دارای قوانین توسعه یافته در زمینه امنیت اطلاعات، عوامل تعیین کننده ریسک مشارکت کنندگان در روابط اطلاعاتی و مسئولیت شخصی آنها در قبال اقدامات انجام شده برای حفاظت از اطلاعات محرمانه است. به عنوان مثال، در روسیه، این رویکرد زمانی که استانداردهای بانک روسیه در سازمان های RF BS معرفی شد، زمانی که الزامات دریافت مجوز برای حفاظت فنی از اطلاعات محرمانه و الزامات تأیید سیستم های اطلاعات داده های شخصی اجباری نیست، اجرا شد. مطابق بند 9. 6 STO BR IBBS-1.0-2010).

الکساندر کاتارژنوف

کاندیدای علوم فنی، دانشیار، KNOU DO مرکز آموزش"یورکا"

رشد سریع کامپیوتری و افزایش حجم اطلاعات دیجیتالمجبور به افزایش سطح امنیت شدند. این منجر به توسعه فعال راه های مختلفحفاظت از داده ها و همچنین شرکت هایی که خدمات حفظ حریم خصوصی را ارائه می دهند. در عین حال فقط تعداد محدودیشرکت ها

مجوز اجباری

حفاظت از اطلاعات شخصی و تجاری یک کار نسبتا حساس و مهم است. ارائه چنین خدماتی بدون مجوز غیرقابل قبول است. انواع اقدامات زیر برای محافظت از اطلاعات مورد نیاز است:

• توسعه، تولید و توزیع ابزارهای رمزگذاری
• روی حفاظت فنی اطلاعاتی که محرمانه هستند کار کنید
• تشخیص وسایل الکترونیکیتوسط اکتساب داده های ضمنی استفاده می شود
• تولید و توسعه SZKI (وسیله حفاظت از اطلاعات محرمانه)
• نگهداری ابزار رمزنگاریحفاظت از اطلاعات، مخابرات و سیستم های اطلاعاتی.

یک استثنا در این مورد، توسعه ابزارهای رمزگذاری برای استفاده شخصی یا. همچنین هیچ مجوزی برای نگهداری اطلاعات و سایر سیستم های مورد استفاده برای اطلاعات داخلی یک شرکت خاص مورد نیاز نیست.

چرا به مجوز برای حفاظت فنی (و سایر) اطلاعات محرمانه نیاز دارید، در زیر توضیح خواهیم داد.

مجوز فعالیت در زمینه حفاظت فنی از اطلاعات محرمانه

وظایف اصلی صدور مجوز

باید درک کرد که سطح محرمانه بودن اطلاعات ممکن است متفاوت باشد.

• برای برخی از شرکت ها، نشت داده ها تنها می تواند باعث ناراحتی اخلاقی شود، در نتیجه برای سایر شرکت ها، آنها توانایی عملکرد را از دست خواهند داد.
• همچنین اسرار تجاری تولید کالاهای مختلف را فراموش نکنید. اگر علنی شوند، محتمل است توسعه متفاوتمناسبت ها.

وظیفه اصلی صدور مجوز سرکوب فعالیت های ناکارآمد است. متقاضیان مجوز باید معیارهای مختلفی را برای اطمینان از کیفیت خدمات حفاظت از داده ها و نگهداری منصفانه رعایت کنند.

این ویدیو در مورد فناوری های امنیت اطلاعات به شما می گوید:

اسناد هنجاری

صدور مجوز توسط تعدادی از مقررات، قوانین و مقررات تنظیم می شود. یکی از اسناد اصلی قانون فدرال شماره 99 مورخ 4 مه 2011 "در مورد صدور مجوز برای انواع خاصی از فعالیت ها" است. همچنین، احکام زیر دولت فدراسیون روسیه برای فعالیت های حفاظت از اطلاعات قابل اجرا است:

• شماره 45 26 ژانویه 2006
• شماره 532 مورخ 31 مرداد 1385
• شماره 691 23 سپتامبر 2002.

همچنین ارزش دارد با فرمان شماره 1418 دولت فدراسیون روسیه در 24 دسامبر 1994 آشنا شوید. تمامی این مدارک بررسی دقیقی از مراحل اخذ مجوز و شرایط ارائه آن به همراه فهرستی از مدارک مورد نیاز را ارائه می دهند.

روش اخذ مجوز از FSTEC روسیه برای حفاظت فنی از اطلاعات محرمانه، نوشتن درخواست در این مورد - همه اینها در زیر توضیح داده شده است.

اخذ مجوز برای انجام فعالیت های حفاظت اطلاعات

فعالیت های امنیت اطلاعات مستلزم رعایت فهرست بزرگی از شرایط و آماده سازی سیستماتیک است. پس از ارسال درخواست، متقاضی مجوز باید تحت یک بررسی کارشناسی متشکل از کارمندان FSB و FSTEC قرار گیرد. ترکیب خاصکمیسیون تخصصی به نوع فعالیت انتخاب شده بستگی دارد.

درخواست و محل ارائه مدارک

درخواست مجوز مجاز به انجام فعالیت برای حفاظت از اطلاعات در فرم مقرر توسط قانون پر می شود. یک نمونه درخواست توسط مقامات صدور مجوز دولتی ارائه شده است. دو سازمان درگیر صدور مجوز برای فعالیت های حفاظت از اطلاعات هستند:

1. سرویس امنیت فدرال (FSB).
2. خدمات فدرال برای کنترل فنی و صادرات (FSTEC).

بخش عمده ای از برنامه ها به FSB ارسال می شود، آنها بیشتر فعالیت ها را ارائه می دهند. صلاحیت FSTEC کنترل تولید و توسعه ابزارهای تخصصی حفاظت از اطلاعات محرمانه است.

شرایط لازم برای صدور مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه (اخذ مجوز برای این امر) در زیر شرح داده شده است.

شرایط

مشکل اصلی در اخذ مجوز شرایط کمک هزینه است. لیست کاملاً گسترده است و در صورت عدم وجود هر موردی، متقاضی از حق صدور مجوز محروم می شود. در عین حال شرایط برای انواع مختلففعالیت ها متفاوت است، اگرچه یک لیست مشترک وجود دارد.

شرایط زیر باید رعایت شود:

• حداقل 2 کارمند با تحصیلات مرتبط یا دوره های بازآموزی داشته باشید
• دارا بودن اماکنی که دارای انطباق فنی اجباری با نوع فعالیت اعلام شده در مالکیت یا اجاره است
• تشکیل پایگاه مادی و فنی کنترل و اندازه گیری، آزمایش و سایر انواع تجهیزات ضروری بسته به نوع فعالیت
• وجود نرم افزار مورد نیاز، متعلق به یا غیر قانونی را بررسی کنید
• دسترسی سیستم تخصصیکنترل مطابق با نوع فعالیت انتخاب شده و زیربند خاص آن
• داشتن مدارک فنی قانونی، تحولات روش شناختیو همچنین سایر داده های کاغذی و دیجیتالی لازم برای انجام تجارت.

همچنین، برخی از فعالیت‌ها ممکن است به امکانات پردازش اطلاعات دارای گواهی ایمنی خاصی نیاز داشته باشند.

یکی دیگر از الزامات مربوط به انواع فعالیت ها، به جز تولید و توسعه SZKI، وجود یک رهبر با آموزش عالیمتخصص در " امنیت اطلاعات» یا دوره بازآموزی بیش از 500 ساعت کلاس درس را گذرانده باشد.

مدارک مورد نیاز

همراه با شرایط ذکر شده، ارائه بسته مدارک زیر ضروری است:

• قراردادهای کار، گواهینامه ها و مدارک تحصیلی کارکنان
• درخواست و مدارک پشتیبانی برای پرداخت وظیفه دولتی
• اسنادی که وجود قانونی سیستم های کنترل را تأیید می کند
• اسناد عنوان برای محل و نرم افزار
• داده ها در مورد در دسترس بودن اسناد فنی و سایر اسناد لازم برای کار
• اسنادی که وجود مواد و پایه فنی مورد نیاز را تأیید می کند
• گواهی انطباق امکانات پردازش اطلاعات و/یا اماکن حفاظت شده.

تمام داده ها با ارائه شده است اسناد تاسیسدرخواست کننده. تعداد تکه‌های کاغذ بسته به نوع فعالیت انتخابی، وجود چندین محل، برنامه و مستندات فنی. به همین دلیل است که هنگام جمع آوری بسته ای از اسناد، لازم است در دسترس بودن قوانین قانونی جدید مربوط به مجوز فعالیت های حفاظت از اطلاعات روشن شود.

مراحل صدور مجوز فعالیت برای سازمان حفاظت اطلاعات در زیر شرح داده شده است.

مراحل

مراحل اعطای مجوز طول می کشد تعداد زیادی اززمان. از نظر قانونی، مدت زمان صدور این سند به 45 روز محدود شده است.یکی از مراحل مهممرحله مقدماتی اخذ مجوز است، امکان اعطای حق فعالیت های حفاظت از اطلاعات به کیفیت اجرای آن بستگی دارد.

مراحل مقدماتی صدور مجوز:

• مطالعه چارچوب نظارتی
• شناسایی انطباق با شرایط اعلام شده
• جمع آوری بسته ای از اسناد و تنظیم یک برنامه
• تحلیل مجدد شرایط و مدارک ارائه شده.

با یک دوره آماده سازی مجوز که به درستی انجام شده است، احتمال دریافت مجوز بسیار زیاد است. اغلب دلیل امتناع دقیقاً اشتباه در اسناد ارائه شده یا عدم رعایت شرایط لازم است.

بعد از مرحله مقدماتیلازم است اسنادی را به مرجع صدور مجوز مورد نیاز ارسال کنید که بسته به نوع فعالیت (FSB یا FSTEC) انتخاب شده است. موضوع بعدی بررسی اسناد توسط کمیسیون کارشناسی خواهد بود. در صورت رعایت آنها، بررسی سازماندهی می شود قابلیت های فنیو شرایط کسب و کار مراحل پایانیصدور فرم مجوز رسمی است.

اطلاعات مفید

• باید توجه ویژه ای به این واقعیت داشت که همه مجوزهای موجود تحت بررسی های برنامه ریزی شده توسط FSB هستند. علاوه بر این، این نوع فعالیت با بازرسی های خود به خودی بدون هشدار مشخص می شود. برای دستیابی به آنها به صورت قانونی انجام می شود حداکثر کیفیتارائه خدمات برای حفظ اطلاعات
• به همین دلیل مدت اعتبار پروانه حداقل 5 سال تعریف شده و روند تمدید مجوز ساده شده است. صدور مجدد سند تایید کننده مجوز ضروری است. به درخواست دارنده پروانه، فرم جدیدی با مدت اعتبار تمدید شده برای وی صادر می شود. این فقط در صورت عدم وجود تخلف فاحش امکان پذیر است - در صورت وجود، مجوز لغو می شود.

دریافت مجوز برای انجام فعالیت های حفاظت از اطلاعات به خودی خود دشوار نیست. جمع آوری بسته مورد نیاز اسناد و رعایت صحیح تمام شرایط مورد نیاز بسیار دشوارتر است. هنگام درخواست مجوز، توجه به آن بسیار مهم است مرحله مقدماتیو با اجرای باکیفیت آن، اخذ مجوز کار سختی نخواهد بود.

بیشتر اطلاعات مفیدحفاظت از اطلاعات و صدور مجوز چنین فعالیت هایی در این ویدئو موجود است: