مدت مجوز در زمینه فناوری اطلاعات. مجوز fstack روسی

صدور مجوز فعالیت حفاظت فنی اطلاعات محرمانه

مطابق سال های گذشتهچارچوب زیر قانونی در زمینه امنیت اطلاعات مکانیسم های پرهزینه، گیج کننده و متناقضی را تشکیل داده است که نه ویژگی های پردازش اطلاعات محرمانه در زمینه های مختلف فعالیت و نه توانایی اپراتورها برای رعایت الزامات تعیین شده را در نظر نمی گیرد. علاوه بر این، الزامات برای اپراتورها سیستم های اطلاعاتیپردازش اطلاعات محرمانه، از جمله داده های شخصی، از طرف FSTEC روسیه شامل چنین مکانیزمی است مقررات دولتیبه عنوان مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه که برای اجرای آن اکثر اپراتورها منابع مادی و نیروی کار کافی ندارند. این امر به ویژه در مورد سازمان های بودجه در زمینه آموزش، خدمات پزشکی، مسکن و خدمات اجتماعی صادق است. مشکلات حقوقی به دلیل عدم وجود قوانین در قوانین فدرال در مورد حفاظت از اطلاعات محرمانه، به عنوان مثال، اسرار رسمی، اسرار حرفه ای، ابهام مفاد، و همچنین تغییرات و اضافات مکرر به قانون فدرال شماره 152 "در مورد داده های شخصی"، سایر اقدامات قانونی نظارتی. در عین حال، قوانین فدرال نیازمند مشخصات و شفاف سازی بیشتر با احکام دولت فدراسیون روسیه و اسناد روش شناختی FSTEC و FSB روسیه است.

تصویب فرمان شماره 79 مورخ 3 فوریه 2012 توسط دولت فدراسیون روسیه "در مورد صدور مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه" با تصویب "مقررات مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه" (از این پس به عنوان مقررات) و لغو فرمان قبلی معتبر 15 اوت 2006 شماره 504، بار دیگر این سوال را مطرح می کند که چه چیزی در آیین نامه مذکور جدید است و اگر سازمان از اطلاعات محرمانه محافظت کند، مجوز FSTEC روسیه لازم است. اطلاعات "برای نیازهای خود"، و آیا خدمات برای پول ارائه نمی دهد؟

مطابق بند 1، آیین نامه روش صدور مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه را تعیین می کند (که حاوی اطلاعاتی نیست که یک راز دولتی باشد، اما مطابق با قانون محافظت می شود. فدراسیون روسیه) توسط اشخاص حقوقی و کارآفرینان فردی انجام می شود.

و این سوال بلافاصله با اصطلاح "اطلاعات محرمانه" مطرح می شود که در مقررات آمده است و در اسناد FSTEC روسیه استفاده می شود ، اما در قوانین فدرال وجود ندارد. قانون فدرال شماره 149 مورخ 27.07. 2006 " در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات "در بند 7 هنر. 2 فقط تعریفی از محرمانه بودن اطلاعات ارائه می دهد، به عنوان اجباری برای شخصی که به آن دسترسی پیدا کرده است. اطلاعات خاص، الزام به عدم انتقال چنین اطلاعاتی به اشخاص ثالث بدون رضایت مالک آن. محرمانگی در ترجمه از لاتین به معنای "اعتماد" است (یعنی با انتقال چنین اطلاعاتی، ما به ایمنی و عدم گسترش آن امیدواریم، زیرا افشای آن ممکن است آسیب خاصی به طرفین وارد کند). توجه داشته باشید که عدم وضوح برخی از اصطلاحات و همچنین تغییرات بعضاً غیر منطقی در تعاریف و مفاهیم قانون اطلاعاتبهبود نیافتن مقررات قانونی v حوزه اطلاعات... در همان زمان، FSTEC روسیه همچنان از اصطلاح "اطلاعات محرمانه" استفاده می کند، که قانونگذاران قبلا آن را رها کرده اند.

طبق قانون فدراسیون روسیه، علائم اجباری اطلاعات با دسترسی محدود باید به شرح زیر باشد:

• اطلاعات به دلیل ناشناخته بودن برای اشخاص ثالث دارای ارزش واقعی یا بالقوه برای مالک است. چنین اشخاصی می توانند دولت، اشخاص حقوقی یا اشخاص حقیقی باشند.
• هیچ اطلاعاتی در دسترس نیست دسترسی رایگانبر روی مبنای قانونی... امکان ناشناخته نگه داشتن آن برای اشخاص ثالث توسط قانون فدرال ایجاد شده است.
• صاحب اطلاعات اقداماتی را برای محافظت از آن انجام می دهد.

در 6 مارس 1997، رئیس جمهور فدراسیون روسیه فرمان شماره 188 را صادر کرد که بر اساس آن "فهرست اطلاعات محرمانه" تأیید شد که بر اساس آن اطلاعات زیر به عنوان اطلاعات محرمانه طبقه بندی شدند:

• در مورد حقایق، رویدادها و شرایط حریم خصوصیشهروند، اجازه شناسایی شخصیت خود (داده های شخصی)، به استثنای اطلاعاتی که باید در وسایل منتشر شود. رسانه های جمعیدر موارد تعیین شده توسط قوانین فدرال؛
• محرمانه بودن تحقیقات و مراحل قانونی را تشکیل می دهد.
• دسترسی به آن توسط مقامات دولتی مطابق با قانون مدنی فدراسیون روسیه و قوانین فدرال محدود شده است ( راز رسمی);
• مربوط به فعالیت های حرفه ای است که دسترسی به آنها مطابق با قانون اساسی فدراسیون روسیه و قوانین فدرال محدود است (پزشکی، اسناد رسمی، اسرار وکالت، حریم خصوصی مکاتبات، مکالمات تلفنی, مرسولات پستی، تلگراف یا پیام های دیگر و غیره)؛
• موارد مربوط به فعالیت های تجاری که دسترسی به آنها مطابق با قانون مدنی فدراسیون روسیه و قوانین فدرال (اسرار تجاری) محدود است.
• در مورد ماهیت اختراع، مدل کاربردی یا طرح صنعتی قبل از انتشار رسمی اطلاعات در مورد آنها.

قطعنامه جدید همچنین اصطلاح "حفاظت فنی از اطلاعات محرمانه" (از این پس - TZKI) را روشن می کند که مطابق بند 2 آیین نامه به این معنی است:

انجام کار و (یا) ارائه خدمات برای محافظت از آن در برابر دسترسی غیرمجاز، از نشت در کانال های فنیو همچنین از تأثیرات ویژه بر چنین اطلاعاتی به منظور از بین بردن، تحریف یا مسدود کردن دسترسی به آنها.

به این ترتیب می آیدیا در مورد انجام کار در TZKI یا در مورد ارائه خدمات در TZKI یا در مورد فعالیت های مشترک.

هنگام انجام فعالیت هایی برای حفاظت فنی از اطلاعات محرمانه انواع کار و خدمات زیر مشمول مجوز می باشند:

• کنترل حفاظت از اطلاعات محرمانه در برابر نشت از طریق کانال های فنی در:

- وسایل و سیستم های اطلاعاتی سازی؛

ابزارهای فنی (سیستم هایی) که محرمانه پردازش نمی شوند

اطلاعات، اما در محلی که در آن پردازش می شود قرار می گیرد.

اماکن دارای امکانات (سیستم) مورد حفاظت؛

مکان هایی که برای انجام مذاکرات محرمانه در نظر گرفته شده است (از این پس - اماکن حفاظت شده)؛

• کنترل حفاظت از اطلاعات محرمانه از دسترسی غیرمجاز و اصلاح آن در ابزارها و سیستم های اطلاع رسانی.
• تست های صدور گواهینامه برای انطباق با الزامات امنیت اطلاعات محصولات مورد استفاده برای محافظت از اطلاعات محرمانه ( وسایل فنیحفاظت از اطلاعات، ابزار فنی حفاظت شده پردازش اطلاعات، ابزار فنی نظارت بر اثربخشی اقدامات حفاظت از اطلاعات، نرم افزار (نرم افزار و سخت افزار) ابزار حفاظت از اطلاعات (از این پس - SSS)، نرم افزار محافظت شده (نرم افزار و سخت افزار) پردازش اطلاعات، نرم افزار (نرم افزار) و سخت افزار) یعنی کنترل امنیت اطلاعات).
• تست های تصدیق و گواهی انطباق با الزامات حفاظت از اطلاعات:

اماکن حفاظت شده؛

• طراحی محافظت شده:

- وسایل و سیستم های اطلاعاتی سازی؛

مکانهایی با وسایل (سیستم) اطلاعاتی که باید محافظت شوند.

اماکن حفاظت شده؛

• نصب، نصب، تست، تعمیر وسایل امنیت اطلاعات (سیستم های امنیتی اطلاعات فنی، ابزار فنی حفاظت شده پردازش اطلاعات، ابزار فنی نظارت بر اثربخشی اقدامات حفاظت از اطلاعات، نرم افزار (نرم افزار و سخت افزار) وسایل امنیت اطلاعات، نرم افزارهای حفاظت شده (نرم افزار و سخت افزار) ابزار پردازش اطلاعات، نرم افزار (نرم افزار و سخت افزار) ابزار کنترل امنیت اطلاعات).

در عین حال، عملکرد سیستم امنیت اطلاعات، در مقابل عملکرد صندوق ها حفاظت رمزنگاری، جایی که مرجع صدور مجوز FSB روسیه است، برای نوع مجوز فعالیت اعمال نمی شود. این موضع FSTEC روسیه سؤالاتی را ایجاد می کند. چرا فقط اولین مراحل ایجاد یک سیستم حفاظتی مجوز داده شده است - طراحی سیستم حفاظتی و نصب وسایل حفاظتی؟ چرا کار روزانهمتخصصان و خدمات امنیت اطلاعات برای بهره برداری و کنترل اثربخشی سیستم امنیت اطلاعات مشمول صدور مجوز نمی شوند؟ پس از همه، آن را کمتر از ایجاد یک سیستم حفاظت مهم است، از وظایف صدور مجوز انواع خاصیفعالیت ها پیشگیری، کشف و سرکوب تخلفات توسط یک شخص حقوقی، رئیس آن و سایر مقامات الزامات تعیین شده توسط قانون فدرال مورخ 4.5.2011 است. شماره 99-FZ "در مورد مجوز انواع خاصی از فعالیت ها"، سایر قوانین فدرال و سایر اقدامات قانونی نظارتی فدراسیون روسیه که مطابق آنها تصویب شده است.

به موجب بند 1 هنر. 49 قانون مدنی فدراسیون روسیه در انواع خاصی از فعالیت ها که لیست آنها توسط قانون تعیین شده است، یک شخص حقوقی می تواند فقط بر اساس مجوز ویژه(مجوزها). انواع فعالیت هایی که برای آنها مجوز لازم است در قانون فدرال مورخ 4.05.2011 N 99-ФЗ "در مورد صدور مجوز انواع خاصی از فعالیت ها"، بند 5 هنر ذکر شده است. که 12 مورد از این انواع و فعالیت ها در TZKI را شامل می شود.

مفهوم "خدمات" به معنای نوع خاصی از قرارداد است (فصل 39، مواد 779-783 قانون مدنی فدراسیون روسیه)، یعنی یک معامله چند جانبه، که در آن لزوماً باید طرف دیگری وجود داشته باشد (بند 1 ماده). 154 قانون مدنی فدراسیون روسیه). اما مفهوم "کار" در قانون تعریف نشده است و فقط بر اساس معانی زیادی در زبان روسی قابل تعریف است: "شغل، کار، فعالیت".

بنابراین، از فرمول بالا، می‌توان نتیجه گرفت که فعالیت‌های TZKI، هم از طرف اشخاص ثالث ("خدمات") و هم برای نیازهای خود ("کارها")، مشمول مجوز هستند.

بر این اساس، اگر سازمانی در چارچوب حفاظت از اطلاعات محرمانه داخلی، اقدام به حفاظت فنی خود کند، باید مجوز مناسب را دریافت کند. به عنوان مثال، در رابطه با حفاظت از داده های شخصی، اپراتور "نیازهای خود" برای حفاظت از آنها ندارد و به موجب قانون نمی تواند وجود داشته باشد. تنها هدف قانون فدرال شماره 152 "درباره داده های شخصی" تضمین حفاظت از حقوق و آزادی های انسانی و مدنی هنگام پردازش داده های شخصی وی است. قانون اهداف دیگری (از جمله رفع نیازهای اپراتورها) را مشخص نکرده است. علاوه بر این، FZ 99-FZ "در مورد صدور مجوز برای انواع خاصی از فعالیت ها" شامل انواع فعالیت هایی است که ممکن است به حقوق، منافع مشروع و سلامت شهروندان آسیب برساند. قانون بین منافع موضوع داده های شخصی (کارمند) و موضوع داده های شخصی (شخص ثالث) در مورد حق قانون اساسی یک شهروند برای اسرار شخصی تفاوتی قائل نمی شود. قانونگذار (از طریق موسسه صدور مجوز) از هر موضوعی از داده های شخصی در برابر عواقب عملکرد بی کیفیت کار در TZKI محافظت می کند.

مقررات اداری FSTEC روسیه برای اجرا تابع حالتدر مورد مجوز فعالیت برای TZKI (از این پس به عنوان مقررات اداری نامیده می شود)، که به دستور 28.08.07 به تصویب رسید. شماره 181 س آخرین تغییراتدر تاریخ 30.09.2011، مطابق با دستور شماره 515، شرایط و ترتیب اقدامات (رویه های اداری) FSTEC روسیه در اعمال اختیارات مجوز فعالیت های TZKI تعیین شد. صدور مجوز موضوع فعالیت های TZKI است که توسط اشخاص حقوقی و کارآفرینان فردی انجام می شود.

تجزیه و تحلیل مفاد مقررات ادارینشان می دهد که روند اخذ مجوز برای TZKI زمان، تلاش و هزینه زیادی می طلبد. برای دریافت مجوز فعالیت های TZKI، لازم است امکان انجام الزامات مجوز و شرایط تعیین شده توسط آیین نامه تأیید شود.

الزامات صدور مجوز برای متقاضی مجوز برای انجام فعالیت های تحت TZKI عبارتند از (بند 5 از مقررات):

الف) متقاضی دارای مجوز باشد نهاد قانونی- متخصصان در کارکنان متقاضی مجوز که دارای بالاتر تحصیلات حرفه ایدر زمینه حفاظت فنی اطلاعات یا آموزش عالی فنی یا متوسطه حرفه ای (فنی) و دوره های بازآموزی یا آموزش پیشرفته در زمینه حفاظت فنی اطلاعات را گذرانده باشند.

ب) متقاضی مجوز (دارنده مجوز) دارای مکان هایی برای انجام فعالیت های دارای مجوز است که مطابق با استانداردهای فنی و الزامات حفاظت فنی از اطلاعات تعیین شده توسط قوانین قانونی نظارتی فدراسیون روسیه است و بر اساس مالکیت یا بر اساس مالکیت به او تعلق دارد. سایر مبانی قانونی؛

ج) در دسترس بودن، بر اساس هر مبنای قانونی، تجهیزات تولید، آزمایش و کنترل و اندازه گیری که مطابق با قوانین فدراسیون روسیه تحت بررسی اندازه شناسی (کالیبراسیون)، علامت گذاری و صدور گواهینامه قرار گرفته است.

د) استفاده از سیستم های خودکاری که اطلاعات محرمانه را پردازش می کنند، و همچنین ابزارهای محافظت از چنین اطلاعاتی که رویه ارزیابی انطباق را گذرانده اند (تأیید شده و (یا) مطابق با الزامات امنیت اطلاعات) مطابق با قوانین فدراسیون روسیه. ;

ه) استفاده از برنامه‌ها برای رایانه‌های الکترونیکی و پایگاه‌های اطلاعاتی که برای اجرای فعالیت‌های دارای مجوز بر اساس توافق با صاحب حق آنها در نظر گرفته شده است.

و) در دسترس بودن اقدامات قانونی نظارتی، اسناد نظارتی و روش شناختی و روش شناختی در مورد حفاظت فنی اطلاعات مطابق با لیستی که توسط FSTEC روسیه ایجاد شده است.

همانطور که مشاهده می کنید، برای تحقق شرایط فوق، یک سازمان باید حداقل 2 متخصص داشته باشد که در برخی موارد (در صورت عدم وجود آموزش عالی تخصصی) نیاز به آموزش آنها در دوره های تکمیلی می باشد. برنامه های درسیبا FSTEC روسیه به مدت حداقل 72 ساعت توافق شده است. علاوه بر این، اسناد نظارتی مورد نیاز خواهد بود، از جمله دسترسی محدودو همچنین وجود بر اساس هر مبنای قانونی (مالکیت یا اجاره شده برای مدتی که کمتر از مدت اعتبار مجوز نیست) تجهیزات تولیدی، آزمایشی و کنترلی و اندازه گیری که مطابق با قانون فدراسیون روسیه. علاوه بر موارد فوق، طراحی، ایجاد و تأیید اشیاء اطلاعاتی نیز ضروری خواهد بود. سیستم خودکارو محل امن) در نظر گرفته شده برای پردازش اطلاعات محرمانه. در این حالت، مشکل از دستیابی، بر اساس هر مبنای قانونی، تجهیزات کنترلی و اندازه گیری است که دارنده مجوز برای ارائه خدمات TZKI نیازی ندارد. علاوه بر این، بیشتر این الزامات از نظر اقتصادی بسیار پرهزینه هستند، در درجه اول برای سازمان های بودجه در زمینه آموزش، خدمات پزشکی، مسکن و خدمات عمومی.

اجرای وظیفه دولتی صدور مجوز فعالیت های TZKI مطابق با بندهای 12-14 مقررات شامل رویه های اداری زیر است (شکل 1):

• اطلاع رسانی و مشاوره در مورد روش انجام وظایف دولتی؛
• بررسی درخواست مجوز؛
• بررسی امکان تکمیل الزامات و شرایط مجوز توسط متقاضی مجوز؛
• تصمیم گیری در مورد اعطای مجوز؛
• صدور سند تأیید وجود مجوز؛
• صدور المثنی و کپی سندی که وجود مجوز را تأیید می کند.
• تمدید مدت اعتبار مجوز؛
• صدور مجدد سندی که وجود مجوز را تأیید می کند.
• کنترل بر انطباق دارنده پروانه با الزامات و شرایط صدور مجوز؛
• تعلیق، تمدید مجوز و لغو مجوز؛
• حفظ ثبت مجوزها؛
• ارائه اطلاعات از ثبت مجوزها.

یکی از مقامات FSTEC روسیه در مورد اعطای مجوز یا امتناع از اعطای مجوز در مدت زمانی که بیش از 45 روز از تاریخ دریافت درخواست مجوز و اسناد ضمیمه شده به آن نباشد تصمیم می گیرد (بند 14.1 مقررات).

دلایل امتناع از اعطای مجوز (بند 14.3 آیین نامه):

وجود در اسناد ارائه شده توسط متقاضی مجوز، اطلاعات نادرست یا تحریف شده؛

ناهماهنگی متقاضی مجوز، اشیاء متعلق به او یا استفاده شده توسط او الزامات صدور مجوزو شرایط

مجوز انجام فعالیت برای حفاظت فنی از اطلاعات محرمانه برای مدت 5 سال اعطا می شود (بند 14.4 آیین نامه). در همان زمان، از 30 ژانویه 2011، اندازه هزینه های دولتی تغییر کرده است: برای اعطای مجوز - 2600 روبل و برای تمدید اعتبار مجوز - 200 روبل.

همانطور که از طرح و رویه ها مشاهده می شود (شکل 1)، دفتر مرکزی FSTEC روسیه درگیر صدور مجوز TZKI با مشارکت بخش های FSTEC روسیه است. مناطق فدرالبرخلاف رویه های صدور مجوز FSB روسیه، که در آن مجوز در حوزه مسئولیت آنها انجام می شود. ادارات سرزمینی FSB روسیه مدت زمان پروسه صدور مجوز TZKI می تواند از دو تا شش ماه طول بکشد و هزینه های مالی قابل توجهی را به همراه داشته باشد، به ویژه در مورد دستیابی به تجهیزات کنترل و اندازه گیری.

آیا می توان از نیاز به مجوز فعالیت سازمان ها و بنگاه ها برای TZKI دور شد؟ توصیه های FSTEC روسیه به نیاز به انعقاد قرارداد با یک سازمان دارای مجوز TZKI خلاصه می شود، در حالی که اپراتور دارای مجوز مذکور است. نیاز اجبارینیست.

توصیه های FSTEC روسیه برای انعقاد قرارداد با دارندگان مجوز، که کمتر از 2000 مورد در ثبت وجود دارد، اجازه حل مشکل حفاظت از اطلاعات محرمانه را نمی دهد. بر اساس برآوردهای کارشناسان، تنها 5 تا 7 میلیون اپراتور داده های شخصی در روسیه وجود دارد، بدون احتساب اپراتورهایی که انواع دیگر اطلاعات محدود شده را مطابق با قانون فدرال تحت حفاظت قرار می دهند. علاوه بر این، معمولاً فقط برای ایجاد یک سیستم برای محافظت از اطلاعات محرمانه، توافق با یک دارنده مجوز فقط برای مقدار مشخصی کار و خدمات منعقد می شود.

اکثر سازمان‌هایی که مجوز TZKI را ندارند یا قصد دریافت مجوز TZKI یا دریافت خدمات سازمان‌های دارنده چنین مجوزی را ندارند، در صورتی که بدون تغییر باقی بمانند، با چه خطراتی مواجه هستند؟ سیاست عمومیو موقعیت FSTEC روسیه؟ هر سازمانی باید خودش تصمیم بگیرد که آیا اخذ چنین مجوزی ضروری است یا خیر. هیچ مجازات اداری برای انجام کار بدون مجوز برای فعالیت های TZKI توسط FSTEC روسیه وجود ندارد و در شرایط فعلی بعید است که این مجازات ها ظاهر شود، زیرا در شرایط ناقص قوانین ما در مورد حفاظت از اطلاعات محرمانه ، دادگاه ها هنجارهای قوانین فدرال را به روش های مختلف تفسیر می کنند و مسئولیت شکست آنها را ... در نتیجه، شدت قطعنامه با ماهیت غیر الزام آور اجرای آن جبران می شود. به عنوان مثال، ماده 14.1 قانون اداری فدراسیون روسیه مسئولیت "اجرا" را پیش بینی می کند. فعالیت کارآفرینیبدون ثبت نام دولتییا بدون مجوز خاص (مجوز). "طبق ماده 2 قانون مدنی فدراسیون روسیه"، کارآفرینی یک فعالیت مستقل است که با مسئولیت خود انجام می شود و با هدف دریافت سیستماتیک سود از استفاده از دارایی، فروش کالا، انجام کار یا ارائه خدمات توسط اشخاصی که در این سمت ثبت نام کرده‌اند به روشی که قانون تعیین می‌کند. «این به تنهایی نشان می‌دهد که ماده 14.1 فقط می‌تواند برای کسانی اعمال شود که خدمات ارائه می‌دهند و از تضمین امنیت کسب درآمد می‌کنند. اطلاعات، یعنی دارندگان مجوز FSTEC و FSB روسیه. برای اکثریت قریب به اتفاق سازمانهایی که اطلاعات محرمانه را پردازش می کنند (اطلاعات دسترسی محدود، که یک راز دولتی نیست)، این مقاله هیچ ربطی به آن ندارد. اسرار دولتیتنها اشکال مدیریت حفاظت از اطلاعات محرمانه واقعاً از طریق استفاده توصیه‌ای از قوانین قانونی نظارتی، دستورالعمل‌ها و اسناد روش‌شناختی تنظیم‌کننده‌ها، اسناد سازمانی و اداری سازمان‌ها، استفاده از سیستم‌ها و سیستم‌های امنیت اطلاعات توسعه‌یافته و آزمایش‌شده در منافع مقامات دولتی و شرکت های تابعه آنها. در این مورد، مبنای عملکرد سیستم های حفاظت از اطلاعات محرمانه، انتخاب شخصی صاحب اطلاعات درجه مکانیزم های امنیتی و حفاظتی آن است. در عین حال، با توجه به تجربه کشورهای دارای قوانین توسعه یافته در زمینه امنیت اطلاعات، عوامل تعیین کننده ریسک شرکت کنندگان است. روابط اطلاعاتیو مسئولیت شخصی آنها برای اقدامات انجام شده استبرای محافظت از اطلاعات محرمانه به عنوان مثال، در روسیه، این رویکرد زمانی اجرا شد که استانداردهای بانک روسیه در سازمان RF BS معرفی شد، زمانی که الزامات دریافت مجوز برای حفاظت فنی از اطلاعات محرمانه و الزامات صدور گواهینامه سیستم های اطلاعات داده های شخصی وجود ندارد. اجباری (طبق بند 9.6 STO BR IBBS- 1.0-2010).

الکساندر کاتارژنوف

Ph.D.، دانشیار، NOU DO مرکز آموزش"یورکا"

حفاظت فنی از اطلاعات محرمانه - مشکل واقعیدر واقعیت های امروزی هر سازمانی به روشی یا دیگری اطلاعاتی را جمع آوری می کند که دوست ندارد یا به سادگی حق افشای آن را ندارد. نشت چنین داده هایی می تواند جدی ترین عواقب را داشته باشد.

ایالت این منطقه مهم را کنترل می کند و نهاد نظارتی اصلی، سرویس فدرال برای کنترل فنی و صادرات (FSTEC) است.

شرکت هایی که درگیر فعالیت هایی برای حفاظت از اطلاعات محرمانه هستند یا قصد دارند در آن فعالیت کنند، باید مجوزی از FSTEC دریافت کنند (قانون فدرال شماره 99 "در مورد صدور مجوز انواع خاصی از فعالیت ها"، مصوبه دولت 21.11.2011 شماره 957 "در مورد سازمان صدور مجوز برای انواع خاصی از فعالیت ها"). همچنین مجوز FSB وجود دارد که توسط شرکت هایی که با اسرار دولتی سروکار دارند مورد نیاز است.

انواع مجوزهای FSTEC

اگر فقط فعالیت های تحت صلاحیت FSTEC را در نظر بگیریم، دو نوع مجوز اصلی وجود دارد:

اول: مجوز FSTEC برای حفاظت فنی از اطلاعات محرمانه (TZKI)... چنین مجوزی برای شرکت هایی که مستقیماً با اطلاعات کار می کنند مورد نیاز است. از نرم افزارهای آماده، نصب، تست تجهیزات، ارتباطات و اتاق های مخصوص ذخیره اطلاعات و ... استفاده می کنند. لیست تفصیلیآثاری که نیاز به اخذ مجوز برای TZKI دارند، در زیر آورده شده است.

دوم: مجوز FSTECبرای توسعه و تولید ابزارهای حفاظت از اطلاعات محرمانه (SZKI)... سازمان هایی که این مجوز را دریافت می کنند، خودشان ابزارهای امنیت اطلاعات را توسعه و تولید می کنند. این شامل نرم افزار و تجهیزات ویژه ای است که برای پردازش، ذخیره سازی و انتقال اطلاعات محافظت شده و همچنین کنترل امنیتی طراحی شده است. کلیه نرم افزارها و سخت افزارهایی که برای این منظور تولید و استفاده می شود صادر می شود گواهینامه های FSTEC... در فواصل زمانی منظم، تجهیزات حفاظتی مجدداً تأیید می شوند.

اطلاعات محرمانه چیست؟

تعریف روشنی از این مفهوم در قانون وجود ندارد: این می تواند هم یک راز تجاری و هم داده های شخصی یا هر اطلاعات دیگری با استفاده محدود باشد.

همچنین مفهوم "اپراتور داده های شخصی" وجود دارد. هر سازمان یا شخصیسازماندهی و (یا) انجام پردازش داده های شخصی. طبق قانون (قانون فدرال شماره 152 "در مورد داده های شخصی")، اپراتور PD موظف است از مصونیت آنها اطمینان حاصل کند، یعنی اقداماتی را برای حفاظت فنی از اطلاعاتی که مشمول مجوز هستند انجام دهد.

در عمل، این همیشه به این معنی نیست که او باید مجوز FSTEC را دریافت کند. اپراتور می تواند برای این منظور یک سازمان شخص ثالث با مجوز استخدام کند یا یک واحد ساختاری تعیین کند یا اجرایی، که به موضوع TZKI می پردازد. در این صورت، این بخش یا مسئول نیز ملزم به داشتن مجوز FSTEC برای TZKI است.

مجوز FSTEK برای TZKI. چه نوع کار مورد نیاز است؟

کدام سازمان ها نیاز به صدور مجوز FSTEC برای TZKI دارند؟ برای تعیین این امر لازم است کار یا خدماتی که این سازمان در نظر دارد ارائه دهد با موارد ارائه شده در مصوبه دولت مقایسه شود. این گونه آثار عبارتند از:

• کنترل حفاظت از اطلاعات محرمانه در برابر نشت از طریق کانال های فنی در:
  وسایل و سیستم های اطلاع رسانی؛
  ابزارهای فنی (سیستم هایی) که اطلاعات محرمانه را پردازش نمی کنند، اما در محل پردازش قرار دارند.
  اماکن دارای امکانات (سیستم) مورد حفاظت؛
  مکان هایی که برای انجام مذاکرات محرمانه در نظر گرفته شده است (امکان محافظت شده)؛
• کنترل حفاظت از اطلاعات محرمانه از دسترسی غیرمجاز و اصلاح آن در ابزارها و سیستم های اطلاع رسانی.
• تست های گواهی برای انطباق با الزامات امنیت اطلاعات محصولات مورد استفاده برای حفاظت از اطلاعات محرمانه (وسایل فنی حفاظت از اطلاعات، ابزار فنی حفاظت شده پردازش اطلاعات، ابزار فنی نظارت بر اثربخشی اقدامات حفاظت از اطلاعات، نرم افزار (نرم افزار و سخت افزار) ابزار امنیت اطلاعات , نرم افزار محافظت شده (نرم افزار - فنی) ابزار پردازش اطلاعات، نرم افزار (نرم افزار و سخت افزار) ابزار کنترل امنیت اطلاعات).
• تست های تصدیق و گواهی انطباق با الزامات حفاظت از اطلاعات:
  
  اماکن حفاظت شده؛
• طراحی محافظت شده:
  وسایل و سیستم های اطلاع رسانی؛
  مکانهایی با ابزار (سیستم) اطلاعاتی که باید محافظت شود.
  اماکن حفاظت شده؛
• نصب، مونتاژ، تست، تعمیر تجهیزات امنیت اطلاعات

اخذ مجوز از FSTEC روسیه برای حفاظت فنی اطلاعات

FSTEC روسیه توصیه می کند برای جلوگیری از هزینه های غیر قابل توجیه و تضمین های غیر منطقی، مجوز حفاظت فنی از اطلاعات را به تنهایی دریافت کنید. این رویه چگونه به نظر می رسد؟ برای دریافت مجوز حفاظت از اطلاعات، باید دو شرط را رعایت کنید:

جمع آوری تمام مدارک مورد نیاز ... لیست اسناد بسیار چشمگیر است و می توان آن را در وب سایت FSTEC روسیه fstec.ru یافت. علاوه بر این، شما باید یک برنامه را پر کنید و هزینه ایالتی را به مبلغ 7500 روبل بپردازید. پس از ارسال مدارک، کامل بودن اطلاعات ظرف مدت پنج روز کاری بررسی می شود. سپس یک بررسی برای تعیین اینکه آیا متقاضی شرایط لازم برای مجوز را برآورده می کند انجام می شود.

الزامات را برآورده کنید... لیست الزامات نیز در وب سایت رسمی FSTEC روسیه است. البته قبل از ارسال مدارک باید از قبل به این موضوع رسیدگی کنید.

شرایط لازم برای اخذ مجوز FSTEC

با خلاصه کردن این الزامات، آنها به موارد زیر خلاصه می شوند:

• کارکنان واجد شرایطکارکنان باید کارمندانی با تحصیلات عالی در یک رشته تخصصی یا دوره های بازآموزی ویژه باشند.
• محل ویژه برای انجام فعالیت ها.محل باید مطابق و قانوناً متعلق به متقاضی باشد.
• تجهیزات تایید شده
• سیستم های خودکار برای پردازش اطلاعات با گواهی ها.
• نرم افزار حقوقی
• در دسترس بودن قوانین قانونی هنجاری و اسناد روش شناختی مطابق با لیست FSTEC.

پس از برآورده شدن کلیه شرایط و تنظیم مدارک، مجوز صادر می شود. مدت اعتبار مجوز برای TZKI محدود نیست، اما هر از گاهی FSTEC بازرسی های برنامه ریزی شده را انجام می دهد. بنابراین، شرکت باید به طور مداوم بر همه چیز نظارت کند الزامات FSTECانجام شدند.

مجوز FSTEC یک مجوز دولتی ویژه است که به شما امکان می دهد فعالیت های قانونی را انجام دهید که مستقیماً با ایجاد و استفاده از آنها مرتبط است. ابزارهای نرم افزارییا فن آوری های نوآورانه... مجوزها برای ذخیره داده های اطلاعاتی یا ایجاد پایگاه های داده برای ذخیره سازی آنها اعمال می شود.

مجوز FSTEC در مسکو و سایر مناطق روسیه با متخصصان گروه شرکت های AP-Real - اخذ مجوز بدون دردسر. مجوز حفاظت از اطلاعات - طیف کاملی از خدمات در صدور مجوز FSTEC.

مرجع صدور مجوز:خدمات فدرال برای کنترل فنی و صادرات
مدت اعتبار مجوز:به طور نامحدود
منطقه عمل:کل قلمرو فدراسیون روسیه
مدت صدور پروانه: 45 روز کاری

قیمت مجوز FSTEC (کمک در اخذ):از 250000 روبل

مجوز FSTEC روسیه برای متقاضیان از مناطق مختلف کشور در دسترس است، اما مرجع صدور مجوز منحصراً سرویس فدرال برای کنترل فنی و صادرات است که در شهر مسکو واقع شده است. مدت اعتبار مجوز رسمی نامحدود است و جغرافیای نفوذ محدود به مرزهای رسمی ایالت است.

مدت زمانی که متقاضی مجوز دریافت می کند 45 روز از تاریخ ارائه مدارک به مرجع دولتی ناظر می باشد.

اخذ انواع مجوزهای FSTEC

فرآیند صدور مجوز می تواند به سه روش انجام شود:

1. خود تجدیدنظرخواهی نام بدین ترتیببهینه دشوار است. یک متقاضی آموزش ندیده، به عنوان یک قاعده، تعدادی از نکات کلیدی مربوط به آوردن مدارک لازم به فرم مورد نیاز و گذراندن آموزش به موقع برای کارکنان و مدیر را از دست می دهد. در این راستا، روند اخذ مجوزها می تواند از بین برود مقدار زیادزمان، و در نتیجه کاهش سود احتمالی شرکت.
2. انتقال بخشی از اختیارات آموزش پیش از صدور مجوز به متخصصان. تمام شد روش موثرگذراندن مراحل صدور مجوز متخصص با هدایت رئیس شرکت بر فرآیند نظارت می کند. اما، شایان ذکر است که در در این مورد، پشتیبانی قانونی نمی تواند کامل باشد و بر این اساس ، هیچ تضمینی برای نتیجه نیز وجود ندارد.
3. پشتیبانی کامل از فرآیند اخذ مجوز FSTEC با مشارکت متخصصان، نتیجه موفقیت آمیز را تضمین می کند. ما نه تنها متخصصان واجد شرایط با تجربه در امور صدور مجوز، بلکه چارچوب قانونی فنی و نظارتی لازم برای اطمینان از انطباق کامل متقاضی با الزامات مرجع کنترل کننده را نیز داریم.

طیف کاملی از خدمات به ما این امکان را می دهد که نه تنها به شرکت ها کمک کنیم تا مجوز لازم برای فعالیت های خود را دریافت کنند، بلکه همچنین برای بازرسی های احتمالی در طول بازرسی های برنامه ریزی شده یا برنامه ریزی نشده آماده باشیم.

انواع مجوز FSTEC

ФЗ №99 مورخ 4.05.11. "در مورد صدور مجوز برای انواع خاصی از فعالیت ها" به وضوح فهرست صنایع اجباری برای صدور مجوز را تنظیم می کند. اول از همه، دریافت مجوز FSTEC ضروری است:

• شرکت در مناقصات دولتی؛
• اجرای فعالیت های مربوط به توسعه و تولید ابزارهای حفاظت از اطلاعات رمزنگاری.
• اجرای فعالیت های مرتبط با TZKI؛
• هنگام پردازش داده های شخصی

مجوز FSTEC روسیه در صنعت TZKI توسط فرمان دولت فدراسیون روسیه در 3 فوریه 2012 شماره 79 "در مورد مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه" تنظیم می شود. مدت اعتبار نامحدود است، اما شرکت ها در طول فعالیت خود باید آماده تایید الزامات برای دارندگان مجوز باشند.

صدور مجوز در صنعت حفاظت از اطلاعات رمزنگاری () توسط فرمان دولت فدراسیون روسیه مورخ 3 مارس 2012 شماره 171 "در مورد مجوز فعالیت برای توسعه و تولید ابزارهای حفاظت از اطلاعات محرمانه" کنترل می شود. سند رسمی شرایط متقاضیان این مجوز را مشخص می کند.

الزامات مجوز FSTEC در مسکو

متقاضی برای دریافت مجوز رسمی برای انجام فعالیت در صنعت، به مدارک مستندی مبنی بر رعایت شرایط زیر نیاز دارد:

• در دسترس بودن کارکنان با تحصیلات عالی در جهت " امنیت اطلاعات". جذب متخصصان با میانگین مجاز است آموزش فنیدارای مشخصات مشابه، مشروط بر اینکه تحت بازآموزی حرفه ای حداقل 360 ساعت تحصیلی قرار گیرند (ارائه گواهی پایان موفقیت آمیز آموزش الزامی است). داشتن تجربه کاری در زمینه امنیت اطلاعات نیز مهم است.
• مالکیت یا اجاره، اجاره فرعی (باید قرارداد اجاره معتبر ارائه شود) اماکن لازم برای اجرا فعالیت حرفه ای... مناطق کاری باید با مقررات دولتی قابل اجرا مطابقت داشته باشد.
• دارای مالکیت یا اجاره (باید یک قرارداد اجاره معتبر ارائه کنید) تجهیزات لازم... هر واحد فنی باید همراه با گواهی تایید و گواهی های لازم تایید کننده صحت داده های ارائه شده باشد.
• در دسترس بودن به روز نرم افزاربرای انجام تجارت در صنعت مورد نیاز است.
• در دسترس بودن اسناد هنجاری و روش شناختی با مهر "DSP" و GOST.
• در دسترس بودن یک محل تایید شده و یک ایستگاه کاری خودکار گواهی شده (AWS) مطابق با الزامات فعلی

مجوز FSTEC انطباق کامل دارنده مجوز و آموزش کارکنان را برای اجرای این فعالیت فراهم می کند.

دستور فرآیند صدور مجوز

مجوز FSTEC روسیه با مشارکت ما این است که متخصصان ما تعهدات زیر را بر عهده می گیرند:

• تهیه مدارک لازم و آوردن آن به نمای تثبیت شده;
• برگزاری، در صورت لزوم؛
• تهیه و ارسال درخواست به مرجع صدور مجوز (صرف نظر از محل متقاضی).
• صدور گواهینامه محل و محل کار خودکار؛
• به دست آوردن مدارک مستند از تحویل اسناد؛
• انجام مراحل برای رفع نواقص و نظرات منتشر شده در صورت لزوم.
• اخذ مجوز رسمی (مجوز) و انتقال آن به دارنده پروانه.

انواع خاصی از مجوزهای FSTEC برای کار با اطلاعاتی که راز دولتی هستند به مجوز FSB نیاز دارند.

ما به متقاضیان تضمین می کنیم که مجوز کسب مجوز و انطباق کامل شرکت با الزامات دولتی را در تمام مراحل فعالیت کارآفرینی بعدی خود داشته باشند.

شرکت در نمایشگاه ها و کنفرانس های حوزه امنیت اطلاعات

متخصصان گروه شرکت‌های AP-Real به طور منظم در نمایشگاه‌ها و کنفرانس‌های موضوعی حضور می‌یابند، بنابراین همواره در ترند همه نوآوری‌ها در زمینه امنیت اطلاعات هستند. تمام تجربیات به دست آمده همیشه در عمل اعمال می شود. تجربه گسترده ما وکلای ما را قادر می سازد تا مشاوره باکیفیت در مورد تجهیزاتی که در سازمانی که با حفاظت از داده ها یا توسعه ابزارهای امنیت اطلاعات سر و کار دارد، ارائه کنند.

اخیراً کارکنان ما از نمایشگاه بازدید کردند حفاظت از اطلاعاتاز "INTERPOLITEX - 2018". برگزارکنندگان این نمایشگاه نیروهای وزارت امور داخله (MVD) بودند. سرویس فدرالامنیت (FSB) و Rosgvardia. گزارش تصویری در صفحه قابل مشاهده است.

صدور مجوز در زمینه حفاظت از اطلاعات فعالیتی است که شامل انتقال یا دریافت حقوق برای انجام کار در زمینه حفاظت از اطلاعات است. سیاست دولتی در زمینه صدور مجوز انواع خاصی از فعالیت ها و تضمین حفاظت از منافع حیاتی فرد، جامعه و دولت توسط فرمان دولت فدراسیون روسیه مورخ 24 دسامبر 1994 شماره 1418 "در مورد" تعیین می شود. صدور مجوز برای انواع خاصی از فعالیت ها" (به موجب قطعنامه های دولت فدراسیون روسیه مورخ 05.05.95 شماره 450، مورخ 03.06.95 شماره 549، مورخ 07.08.95 شماره 796، مورخ 12.10.905 شماره 450 اصلاح شده است. ، مورخ 22.04.97 شماره 462 مورخ 01.12.97 شماره 1513 نیز رجوع کنید به مصوبه 11.02.02 شماره 135).

مجوز مجوزی برای حق انجام کار در زمینه حفاظت از اطلاعات است. مجوز برای انواع خاصی از فعالیت به مدت سه سال صادر می شود و پس از آن طبق روال تعیین شده برای صدور مجوز مجدداً ثبت می شود.

در صورتی مجوز صادر می شود که شرکت متقاضی مجوز دارای شرایط صدور مجوز باشد: امکانات تولید و آزمایش، مستندات نظارتی و روش شناختی و دارای نیروی علمی و مهندسی باشد.

ساختار سازمانی سیستم صدور مجوز دولتی شرکت ها در زمینه حفاظت از اطلاعات توسط:

· ارگانهای دولتی برای صدور مجوز.

· مراکز صدور مجوز؛

· شرکت های متقاضی.

مراجع صدور مجوز دولتی:

· سازماندهی صدور مجوز دولتی اجباری برای شرکتها.

· صدور مجوزهای دولتی برای شرکتهای متقاضی.

· توافق در مورد ترکیب کمیسیون های کارشناسی که توسط مراکز صدور مجوز نمایندگی می شوند.

· اعمال کنترل و نظارت بر کامل و کیفیت کار انجام شده توسط دارندگان پروانه در زمینه حفاظت اطلاعات.

مراکز مجوز:

· تشکیل کمیسیون های کارشناسی و ارائه ترکیب آنها برای تصویب به رؤسای نهادهای صدور مجوز دولتی مربوطه که عبارتند از FSTEC و FSB.

· برنامه ریزی و انجام کار بر روی بررسی شرکت های متقاضی.

· کنترل کامل و کیفیت کار انجام شده توسط دارندگان مجوز.

مراکز مجوز در ارگان های دولتیدر خصوص صدور مجوز به دستور روسای این ارگان ها ایجاد می شود. کمیسیون های کارشناسی از میان متخصصان صنایع، ارگان های ذیصلاح در زمینه حفاظت اطلاعات مربوطه تشکیل می شوند تحت کنترل دولت، سایر سازمان ها و نهادها. کمیسیون های تخصصی در یک یا چند حوزه حفاظت از اطلاعات ایجاد می شوند.

موارد زیر مشمول مجوز FSTEC روسیه هستند:

· صدور گواهینامه، آزمایش صدور گواهینامه ابزارهای فنی امن پردازش اطلاعات (ICT)، ابزارهای حفاظت سخت افزاری و نرم افزاری، ابزارهای نظارت بر اثربخشی اقدامات حفاظت از اطلاعات، پردازش نرم افزار، حفاظت و کنترل امنیتی.

· صدور گواهینامه سیستم های اطلاع رسانی، سیستم های کنترل خودکار، سیستم های ارتباطی و انتقال داده، امکانات فناوری اطلاعات و اماکن اختصاصی برای انطباق با الزامات دستورالعمل ها و اسناد نظارتی در مورد امنیت اطلاعات.

· توسعه، تولید، فروش، نصب، راه اندازی، نصب، تعمیر، خدمات نگهداری اشیاء حفاظت شده انفورماتیک، ابزار فنی حفاظت و کنترل اثربخشی اقدامات حفاظت از اطلاعات، ابزارهای نرم افزاری محافظت شده برای پردازش، حفاظت و کنترل امنیت اطلاعات.

انجام مطالعات ویژه در کنار تابش الکترومغناطیسیو نوک آف (PEMIN) TCOI.

· طراحی اشیاء در طرح محافظت شده.

مرجع صدور مجوز مسئول موارد زیر است:

· توسعه قوانین، رویه ها و اسناد نظارتی و روش شناختی در مورد مسائل صدور مجوز.

· اجرای مدیریت علمی و روش شناختی فعالیت های صدور مجوز.

· انتشار اطلاعات لازمدر مورد سیستم صدور مجوز؛

· رسیدگی به درخواست سازمان ها و یگان های نظامی برای صدور مجوز.

· هماهنگی بیانیه ها با واحدهای نظامی مسئول حوزه های مربوطه حفاظت اطلاعات.

· هماهنگی ترکیب کمیسیون های کارشناسی.

· سازماندهی و اجرای امتحانات ویژه.

· اتخاذ تصمیم در خصوص صدور پروانه.

· صدور مجوز;

· اتخاذ تصمیم در مورد تعلیق، تمدید پروانه یا لغو آن.

· ثبت مجوزهای صادر شده، معلق، تمدید و لغو شده.

· خرید، حسابداری و ذخیره فرم های مجوز.

· سازماندهی کار مراکز صدور گواهینامه.

· کنترل بر کامل بودن و کیفیت کار انجام شده توسط دارندگان مجوز.

مطابق با ماده 17 قانون فدرال مورخ 08.08.2001 شماره 128-FZ "در مورد صدور مجوز انواع خاصی از فعالیت ها" (طبق اصلاح قانون فدرال مورخ 02.07.2005 شماره 80-FZ) انواع فعالیت های زیر (در زمینه حفاظت از اطلاعات) مشمول مجوز هستند:

· فعالیت برای توزیع ابزارهای رمزگذاری (رمز نگاری).

· فعالیت برای نگهداریرمزگذاری (رمز نگاری) به معنی؛

· ارائه خدمات در زمینه رمزگذاری اطلاعات.

· توسعه، تولید ابزارهای رمزنگاری (رمزنگاری)، حفاظت شده با استفاده از ابزارهای رمزگذاری (رمزنگاری) سیستم های اطلاعاتی، سیستم های مخابراتی.

· فعالیت برای توسعه و (یا) تولید وسایل حفاظت از اطلاعات محرمانه. فعالیت در زمینه حفاظت فنی از اطلاعات محرمانه؛

· فعالیت برای شناسایی دستگاه های الکترونیکی طراحی شده برای به دست آوردن مخفیانه اطلاعات در اماکن و وسایل فنی (مگر اینکه فعالیت مشخص شده برای رفع نیازهای خود یک شخص حقوقی یا کارآفرین فردی انجام شود).

به عنوان بخشی از فعالیت های تحت بررسی، احکام جداگانه ای از دولت فدراسیون روسیه صادر شد که روند صدور مجوز را روشن می کند. از جمله:

· فرمان دولت فدراسیون روسیه 26 ژانویه 2006 شماره 45 "در مورد سازماندهی مجوز انواع خاصی از فعالیت ها"؛ فرمان دولت فدراسیون روسیه 15 اوت 2006 شماره 504 "در مورد مجوز فعالیت برای حفاظت فنی از اطلاعات محرمانه"؛

· فرمان دولت فدراسیون روسیه 31 اوت 2006 شماره 532 "در مورد صدور مجوز فعالیت برای توسعه و (یا) تولید وسایل حفاظت از اطلاعات محرمانه".

· فرمان دولت فدراسیون روسیه 2002/09/23 شماره 691 "در مورد تصویب مقررات مربوط به صدور مجوز انواع خاصی از فعالیت های مربوط به رمزگذاری (رمز نگاری)".

مطابق با این اسناد، دارندگان مجوز موظفند سالانه اطلاعات تعداد کارهای انجام شده برای انواع خاصی از فعالیت های مشخص شده در مجوز را به مرجع صدور مجوز یا مرکز صدور گواهینامه ارائه کنند. دارندگان مجوز مسئولیت کامل و کیفیت کار انجام شده و اطمینان از ایمنی اسرار دولتی که در جریان فعالیت های عملی به آنها سپرده شده است، هستند.

رشد سریع کامپیوتری شدن و افزایش حجم اطلاعات دیجیتالمجبور به افزایش سطح امنیت هستند. این منجر شد توسعه فعال روش های مختلفحفاظت از داده ها و همچنین شرکت هایی که خدمات حفظ حریم خصوصی را ارائه می دهند. علاوه بر این، چنین نوع فعالیتی فقط مجاز است تعداد محدودیشرکت ها

الزام به اخذ مجوز

حفاظت از شخصی و اطلاعات تجارییک شغل نسبتا ظریف و مهم است. ارائه چنین خدماتی بدون مجوز غیرقابل قبول است. انواع اقدامات زیر برای محافظت از اطلاعات مورد نیاز است:

• توسعه، تولید و توزیع ابزارهای رمزگذاری
• روی حفاظت فنی از اطلاعات محرمانه کار کنید
• تشخیص وسایل الکترونیکیبرای به دست آوردن اطلاعات مخفیانه استفاده می شود
• تولید و توسعه SZKI (وسیله حفاظت از اطلاعات محرمانه)
• نگهداری ابزار رمزنگاریحفاظت از اطلاعات، مخابرات و سیستم های اطلاعاتی.

یک استثنا در این مورد، توسعه ابزارهای رمزگذاری برای استفاده شخصی یا. همچنین هیچ مجوزی برای نگهداری اطلاعات و سایر سیستم های مورد استفاده برای اطلاعات داخلی یک شرکت خاص مورد نیاز نیست.

چرا ما به مجوز برای حفاظت فنی (و سایر) اطلاعات محرمانه نیاز داریم، در زیر خواهیم گفت.

مجوز حفاظت فنی از اطلاعات محرمانه

وظایف اصلی صدور مجوز

باید درک کرد که سطح محرمانه بودن اطلاعات می تواند متفاوت باشد.

• برای برخی از شرکت‌ها، نشت داده‌ها تنها می‌تواند باعث ناراحتی اخلاقی شود، در حالی که برخی دیگر در نتیجه توانایی عملکرد خود را از دست خواهند داد.
• همچنین اسرار تجاری تولید کالاهای مختلف را فراموش نکنید. اگر علنی شوند، محتمل است توسعه متفاوتمناسبت ها.

هدف اصلی صدور مجوز، مهار فعالیت های ناکارآمد است. متقاضیان مجوز باید معیارهای مختلفی را برای اطمینان از کیفیت خدمات حفاظت از داده ها و نگهداری منصفانه رعایت کنند.

این ویدیو در مورد فناوری های امنیت اطلاعات به شما می گوید:

اسناد هنجاری

صدور مجوز توسط تعدادی از مقررات، قوانین و مقررات اداره می شود. یکی از اسناد اصلی قانون فدرال شماره 99 مورخ 4 مه 2011 "در مورد صدور مجوز انواع خاصی از فعالیت ها" است. همچنین، قطعنامه های زیر دولت فدراسیون روسیه برای فعالیت های حفاظت از اطلاعات قابل اجرا است:

• شماره 45 26 ژانویه 2006
• شماره 532 31 اوت 2006
• شماره 691 مورخ 23 سپتامبر 2002.

همچنین ارزش دارد که با فرمان دولت فدراسیون روسیه شماره 1418 مورخ 1994/12/24 آشنا شوید. همه این اسناد بررسی دقیق روش اخذ مجوز را ارائه می دهند و شرایط ارائه آن را به همراه فهرستی از اسناد مورد نیاز نشان می دهند.

روش دریافت مجوز از FSTEC روسیه برای حفاظت فنی از اطلاعات محرمانه، نوشتن بیانیه ای در این مورد - همه اینها در زیر توضیح داده شده است.

اخذ مجوز برای انجام فعالیت های حفاظت از اطلاعات

فعالیت های حفاظت از اطلاعات مستلزم رعایت فهرست بزرگی از شرایط و آماده سازی سیستماتیک است. پس از ارسال درخواست متقاضی مجوز، یک بررسی تخصصی متشکل از کارمندان FSB و FSTEK قطعا در انتظار خواهد بود. ترکیب خاصکمیسیون کارشناسی به نوع فعالیت انتخاب شده بستگی دارد.

درخواست و محل ارائه مدارک

درخواست مجوز برای انجام فعالیت های حفاظت از اطلاعات پر می شود توسط قانون ایجاد شده استفرم. یک نمونه درخواست توسط مراجع صدور مجوز ارائه می شود. صدور مجوز خود برای فعالیت های حفاظت از اطلاعات توسط دو سازمان انجام می شود:

1. سرویس امنیت فدرال (FSB).
2. خدمات فدرال برای کنترل فنی و صادرات (FSTEC).

بخش عمده ای از برنامه ها به FSB ارسال می شود، آنها بیشتر فعالیت ها را ارائه می دهند. FSTEC مسئول کنترل تولید و توسعه ابزارهای تخصصی حفاظت از اطلاعات محرمانه است.

شرایط لازم برای صدور مجوز (اخذ مجوز) برای حفاظت فنی از اطلاعات محرمانه در زیر شرح داده شده است.

شرایط

مشکل اصلی در اخذ مجوز شرایط کمک هزینه است. لیست کاملاً گسترده است و در صورت عدم وجود هر موردی، متقاضی از حق صدور مجوز محروم می شود. علاوه بر این، شرایط برای انواع مختلففعالیت ها متفاوت است، اگرچه یک لیست کلی وجود دارد.

شرایط زیر باید رعایت شود:

• حداقل 2 کارمند با تحصیلات مناسب یا دوره های بازآموزی را گذرانده باشد
• مالکیت یا اجاره محل با انطباق فنی اجباری با نوع فعالیت اعلام شده
• برای تشکیل یک پایگاه مادی و فنی از ابزار دقیق، آزمایش و سایر انواع تجهیزات ضروری، بسته به نوع فعالیت
• تأیید کنید که نرم افزار مورد نیاز متعلق به آن است یا به طور قانونی در دسترس است
• دسترسی سیستم تخصصیکنترل مطابق با نوع فعالیت انتخاب شده و زیربند خاص آن
• داشتن مستندات فنی به صورت قانونی، تحولات روش شناختیو همچنین سایر داده های کاغذی و دیجیتالی لازم برای انجام تجارت.

همچنین، برای برخی از انواع فعالیت‌ها، برخی از امکانات پردازش اطلاعات که برای اقدامات احتیاطی ایمنی تأیید شده‌اند، ممکن است مورد نیاز باشد.

یکی دیگر از نیازهای انواع فعالیت ها به جز تولید و توسعه SZKI، حضور در پست مدیری است که دارای آموزش عالیدر تخصص "امنیت اطلاعات" یا گذراندن دوره بازآموزی بیش از 500 ساعت کلاس درس.

مدارک مورد نیاز

همراه با شرایط ذکر شده، باید بسته مدارک زیر را ارائه دهید:

• قراردادهای کار، گواهینامه ها و مدارک تحصیلی کارکنان
• درخواست و مدارک پشتیبان برای پرداخت وظیفه دولتی
• اسنادی که وجود قانونی سیستم های کنترل را تأیید می کند
• اسناد عنوان برای محل و نرم افزار
• داده ها در مورد در دسترس بودن اسناد فنی و سایر اسناد لازم
• اسنادی که وجود مواد و پایه فنی مورد نیاز را تأیید می کند
• گواهی انطباق برای امکانات پردازش اطلاعات و / یا اماکن حفاظت شده.

تمام داده ها همراه با ارائه شده است اسناد تشکیل دهندهدرخواست کننده. تعداد تکه‌های کاغذ بسته به نوع فعالیت انتخابی، وجود چندین محل، برنامه و مستندات فنی... به همین دلیل است که هنگام جمع آوری بسته ای از اسناد، لازم است وجود قوانین قانونی نظارتی جدید در مورد مجوز فعالیت های حفاظت از اطلاعات روشن شود.

مراحل صدور مجوز فعالیت برای سازمان امنیت اطلاعات در زیر شرح داده شده است.

مراحل

مراحل صدور مجوز طول می کشد تعداد زیادی اززمان. شرایط قانونی موضوع این سندمحدود به 45 روزیکی از مراحل مهممرحله مقدماتی اخذ مجوز است، امکان اعطای حق فعالیت های حفاظت از اطلاعات به کیفیت اجرای آن بستگی دارد.

مراحل مقدماتی صدور مجوز:

• مطالعه چارچوب نظارتی
• آشکارسازی انطباق با شرایط اعلام شده
• جمع آوری بسته ای از اسناد و تنظیم یک برنامه
• تحلیل مجدد شرایط و مدارک ارائه شده.

با یک دوره مجوز مقدماتی که به درستی انجام شده است، احتمال دریافت مجوز بسیار زیاد است. اغلب دلیل امتناع دقیقاً اشتباه در اسناد ارائه شده یا عدم رعایت شرایط لازم است.

بعد از مرحله مقدماتیلازم است اسناد را به مرجع صدور مجوز لازم، بسته به نوع فعالیت (FSB یا FSTEC) ارسال کنید. مورد بعدی بررسی مدارک توسط کمیسیون کارشناسی خواهد بود. اگر مطابقت داشته باشند، چک سازماندهی می شود قابلیت های فنیو شرایط کسب و کار مراحل پایانیصدور فرم مجوز رسمی است.

اطلاعات مفید

• باید توجه ویژه ای به این واقعیت داشت که همه دارندگان مجوز فعلی تحت بازرسی های معمول FSB هستند. علاوه بر این، این نوع فعالیت با بررسی های خود به خودی بدون هشدار مشخص می شود. آنها به طور قانونی برای دستیابی انجام می شوند حداکثر کیفیتخدمات ارائه شده برای حفظ اطلاعات
• به همین دلیل مدت مجوز حداقل 5 سال تعیین شده و روند تمدید مجوز نیز ساده شده است. صدور مجدد سند تایید کننده مجوز ضروری است. به درخواست دارنده پروانه، فرم جدیدی با مدت اعتبار تمدید شده برای وی صادر می شود. این فقط در صورت عدم وجود تخلفات فاحش امکان پذیر است - در صورت وجود، مجوز لغو می شود.

دریافت مجوز برای انجام فعالیت های حفاظت از داده ها به خودی خود دشوار نیست. مونتاژش خیلی سخت تره بسته مورد نیازاسناد و مدارک و رعایت صحیح کلیه شرایط مورد نیاز. هنگام درخواست مجوز، توجه به آن بسیار مهم است مرحله مقدماتیو با اجرای باکیفیت آن، اخذ مجوز کار سختی نخواهد بود.

بیشتر اطلاعات مفیدحفاظت از اطلاعات و صدور مجوز چنین فعالیت هایی در این ویدئو موجود است: