Licenza per la sicurezza delle informazioni. Come ottenere una licenza fstack? Requisiti per ottenere una licenza fstack

04.04.2019 Televisori (Smart TV)

La concessione di licenze nel campo della protezione delle informazioni è un'attività che comporta il trasferimento o la ricezione di diritti per svolgere lavori nel campo della protezione delle informazioni. La politica statale nel campo della concessione di licenze per determinati tipi di attività e della tutela degli interessi vitali dell'individuo, della società e dello stato è determinata dal decreto governativo Federazione Russa del 24 dicembre 1994 n. 1418 "Sulla concessione di licenze a determinati tipi di attività" (come modificato dalle decisioni del governo RF del 05.05.95 n. 450, del 03.06.95 n. 549, del 07.08.95 n. 796, del 12.10 .95 n. 1001, del 22.04.97 n. 462, del 01.12.97 n. 1513, si veda anche la delibera del 02.11.02 n. 135).

Una licenza è un permesso per il diritto di svolgere un lavoro nel campo della protezione delle informazioni. Viene rilasciata una licenza per determinati tipi di attività per tre anni, dopodiché viene reimmatricolata secondo la procedura stabilita per il rilascio della licenza.

Una licenza viene rilasciata se la società che ha richiesto una licenza ha le condizioni per la licenza: impianti di produzione e collaudo, documentazione normativa e metodologica e dispone di personale scientifico e ingegneristico.

La struttura organizzativa del sistema di licenze statali delle imprese nel campo della protezione delle informazioni è formata da:

· Enti statali per l'abilitazione;

· Centri di licenza;

· Imprese-richiedenti.

Autorità statali per il rilascio delle licenze:

· Organizzare la licenza statale obbligatoria delle imprese;

· Rilascio licenze statali alle imprese richiedenti;

· Concordare la composizione delle commissioni di esperti rappresentate dai centri di abilitazione;

· Esercitare il controllo e la supervisione sulla completezza e la qualità del lavoro svolto dai licenziatari nel campo della protezione delle informazioni.

Centri di licenza:

· Formare commissioni di esperti e sottoporre la loro composizione per l'approvazione ai capi degli organismi statali competenti per l'autorizzazione, che sono FSTEC e FSB;

· Pianificare ed eseguire lavori sull'esame delle imprese richiedenti;

· Controllare la completezza e la qualità del lavoro svolto dai licenziatari.

I centri di autorizzazione sotto gli organismi statali di autorizzazione sono creati per ordine dei capi di questi organismi. Commissioni di esperti sono formate da specialisti di industrie, enti governativi, altre organizzazioni e istituzioni competenti nel settore pertinente della protezione delle informazioni. Vengono create commissioni di esperti in una o più aree della protezione delle informazioni.

Licenza FSTEC della Russia soggetto a:

Certificazione, test di certificazione di mezzi tecnici sicuri di elaborazione delle informazioni (TIC), tecnici e strumenti software protezione, strumenti di controllo per l'efficacia delle misure di protezione delle informazioni, elaborazione del software, protezione e controllo della sicurezza;

· Certificazione di sistemi di informatizzazione, sistemi di controllo automatizzati, sistemi di comunicazione e trasmissione dati, strutture informatiche e locali dedicati per la conformità ai requisiti delle linee guida e dei documenti normativi sulla sicurezza delle informazioni;

· Sviluppo, produzione, vendita, installazione, adeguamento, installazione, riparazione, servizio di manutenzione di oggetti informatici protetti, mezzi tecnici di protezione e controllo dell'efficacia delle misure di protezione delle informazioni, strumenti software protetti per l'elaborazione, la protezione e il controllo della sicurezza delle informazioni;

· Realizzazione di studi speciali per radiazioni e interferenze elettromagnetiche laterali (PEMIN) TCOI;

· Design di oggetti in un design protetto.

L'autorità di rilascio della licenza è responsabile di:

· Sviluppo di regole, procedure e documenti normativi e metodologici in materia di licenze;

· Implementazione della gestione scientifica e metodologica delle attività di licensing;

· Pubblicazione informazione necessaria sul sistema delle licenze;

· Esame delle domande di organizzazioni e unità militari per il rilascio di licenze;

· Coordinamento delle dichiarazioni con le unità militari responsabili delle aree rilevanti della protezione delle informazioni;

· Coordinamento della composizione delle commissioni di esperti;

· Organizzazione e svolgimento di esami speciali;

· Prendere una decisione sul rilascio di una licenza;

· Rilascio di licenze;

· Decidere in merito alla sospensione, al rinnovo della patente o alla sua cancellazione;

· Tenere un registro delle licenze rilasciate, sospese, rinnovate e annullate;

· Acquisto, contabilizzazione e conservazione dei moduli di licenza;

· Organizzazione del lavoro dei centri di certificazione;

· Controllo sulla completezza e qualità del lavoro svolto dai licenziatari.

In conformità con l'articolo 17 della legge federale del 08.08.2001 n. 128-FZ "Sull'autorizzazione di determinati tipi di attività" (come modificata dalla legge federale del 02.07.2005 n. 80-FZ) i seguenti tipi di attività (nel campo della protezione delle informazioni) sono soggetti a licenza:

· Attività per la distribuzione di mezzi di cifratura (crittografici);

· Attività per Manutenzione mezzi di crittografia (crittografici);

· Fornitura di servizi nel campo della crittografia delle informazioni;

· Sviluppo, produzione di mezzi di cifratura (crittografici), protetti mediante mezzi di cifratura (crittografici) di sistemi informativi, sistemi di telecomunicazione;

· Attività per lo sviluppo e (o) produzione di strumenti di protezione delle informazioni riservate; attività tecniche di protezione informazioni confidenziali;

· Attività di identificazione di dispositivi elettronici atti ad ottenere segretamente informazioni in locali e mezzi tecnici (a meno che l'attività specificata non sia svolta per soddisfare le proprie esigenze di una persona giuridica o di un singolo imprenditore).

Nell'ambito delle attività in esame, sono stati emessi decreti separati del governo della Federazione Russa, che chiariscono la procedura di autorizzazione. Tra loro:

· Decreto del governo della Federazione Russa del 26 gennaio 2006 n. 45 "Sull'organizzazione della concessione di licenze di determinati tipi di attività"; Decreto del governo della Federazione Russa del 15 agosto 2006 n. 504 "Sulle attività di licenza per protezione tecnica informazioni confidenziali ";

· Decreto del governo della Federazione Russa del 31 agosto 2006 n. 532 "Sulle attività di licenza per lo sviluppo e (o) la produzione di mezzi per proteggere le informazioni riservate";

· Decreto del governo della Federazione Russa del 23.09.2002 n. 691 "Approvazione dei regolamenti sull'autorizzazione di determinati tipi di attività relative ai mezzi di crittografia (crittografici)".

In conformità con questi documenti, i licenziatari sono tenuti a presentare annualmente all'autorità di rilascio della licenza o al centro di certificazione informazioni sul numero di lavori eseguiti per tipi specifici di attività specificati nella licenza. I licenziatari sono responsabili della completezza e della qualità del lavoro svolto, garantendone la sicurezza segreti di stato loro affidati nel corso delle attività pratiche.

Per il normale funzionamento dei sistemi di gestione elettronica dei documenti (EDM), è necessario sviluppare procedure per la risoluzione di possibili conflitti. Una parte in tali conflitti, oltre ai partecipanti EDF e alla società fornitrice, può essere anche la società di sviluppo software.

Si presume che il contratto con la società sviluppatrice tenga conto della disponibilità di un campione di software di riferimento, che può essere conservato solo dalla società fornitrice o da tutti i partecipanti a EDF. Ciò richiede il rispetto di due condizioni fondamentali:

deve essere documentato che ogni partecipante al sistema EDM (inclusa l'azienda fornitrice) ha installato un software corrispondente al campione di riferimento;

la conservazione dei campioni di riferimento è organizzata in modo tale da escludere la possibilità di modificare il campione di riferimento del software all'insaputa delle parti.

Tale regime può essere fornito da un sistema di più chiavi pubbliche.

Oggi, quando le moderne tecnologie dell'informazione vengono introdotte in modo intensivo in tutte le sfere della vita e delle attività della società, nazionale e, come parte di essa, la sicurezza economica dello stato inizia a dipendere direttamente dalla garanzia della sicurezza dell'informazione. Ecco perché, al fine di creare garanzie per garantire la necessaria stabilità dei mezzi di protezione delle informazioni, lo Stato si assume la responsabilità di autorizzare le attività delle organizzazioni coinvolte nella protezione delle informazioni e nella certificazione dei mezzi tecnici corrispondenti.

Il livello odierno di protezione contro le minacce alle informazioni esterne nel mondo reti aperte non può essere considerato soddisfacente: in Russia non esiste ancora una strategia completa e tecnicamente valida in questo settore. Per cambiare la situazione, dovrebbe essere urgentemente sviluppata e attuata una serie di misure nel campo della legislazione e della standardizzazione dei mezzi per garantire la sicurezza delle informazioni in Russia. I compiti prioritari in questa direzione includono:

· Adozione di una legge speciale, simile al "Computer Security Act" negli Stati Uniti, che incarichi specifici enti governativi del supporto metodologico del lavoro nel campo della sicurezza delle informazioni;

· Sviluppo di approcci unificati per garantire la sicurezza per organizzazioni di vari profili, dimensioni e forme di proprietà;

· Garantire la comparsa sul mercato di un numero sufficiente di vari strumenti certificati per risolvere i problemi di sicurezza delle informazioni.

Uno dei problemi nel campo della protezione delle informazioni in Russia è la mancanza di documenti ufficiali con raccomandazioni dettagliate sulla costruzione di sistemi informativi sicuri, simili a quelli sviluppati, ad esempio, dall'American Institute of Standard Technologies (USA) e dallo standard britannico. Sebbene non ci siano regolamenti nel Regno Unito che richiedono la conformità norme statali, circa il 60% delle aziende e delle organizzazioni britanniche utilizza volontariamente lo standard sviluppato e il resto intende implementare le sue raccomandazioni nel prossimo futuro.

La licenza e la certificazione per la sicurezza delle informazioni possono mitigare questo problema. È necessario creare garanzie per l'utente che gli strumenti di sicurezza delle informazioni da lui utilizzati siano in grado di fornire livello richiesto protezione. Sono le licenze che possono aiutare a garantire che solo specialisti altamente qualificati in questo campo affronteranno il problema della protezione delle informazioni e che i prodotti che creano saranno al livello appropriato e saranno in grado di superare la certificazione.

Senza certificazione, è impossibile valutare se un particolare strumento contenga capacità non documentate potenzialmente dannose, la cui presenza è particolarmente caratteristica della maggior parte dei prodotti stranieri, che possono a un certo punto portare a malfunzionamenti del sistema e persino a conseguenze irreversibili per esso. Un tipico esempio di tale opportunità non documentateè impegnata da Ericsson nello sviluppo di centralini telefonici, sulla base della quale il Ministero delle Ferrovie della Federazione Russa costruisce la sua rete telefonica, la capacità di bloccare il proprio lavoro quando si riceve una chiamata di un determinato numero di telefono, che l'azienda rifiuta di nominare. E questo esempio non è l'unico.

Il processo di certificazione di un prodotto software richiede circa lo stesso tempo del suo sviluppo ed è praticamente impossibile senza codici sorgente di programmi con commenti. Allo stesso tempo, molte aziende straniere non desiderano rappresentare testi di origine dei loro prodotti software ai centri di certificazione russi. Ad esempio, nonostante l'accordo di principio Microsoft per la certificazione in Russia del sistema operativo Windows NT, che ha già individuato più di 50 errori relativi alla sicurezza, questo problema non riusciva a decollare da molti mesi a causa della mancanza del suo codice sorgente.

Le difficoltà con la certificazione portano al fatto che i più semplici ricevono il certificato più velocemente di altri tra i prodotti della stessa classe, il che li fa sembrare più affidabili per l'utente. Lunghi periodi di certificazione portano al fatto che la società di sviluppo ha il tempo di portare sul mercato una nuova versione del suo prodotto e il processo diventa infinito.

La certificazione dei mezzi tecnici di protezione delle informazioni è difficile da realizzare senza standard adeguati, la cui creazione in Russia è ostacolata non da ultimo dalla mancanza di risorse finanziarie. Questo problema è risolto se ci sono più aziende interessate al marketing e diverse organizzazioni interessate a utilizzare i mezzi tecnici appropriati. Ad esempio, il frutto degli sforzi congiunti di tali organizzazioni, aziende e FSTEC (ex Commissione tecnica statale (STC)) è stato lo sviluppo del Comitato doganale statale della Federazione Russa Linee guida tecniche "Infrastrutture informatiche. Firewall. Protezione contro l'accesso non autorizzato a informazioni. Indicatori di protezione contro l'accesso non autorizzato alle informazioni". Ha permesso di classificare gli strumenti in grado di proteggere in una certa misura le reti aziendali da intrusioni esterne.

Il documento presuppone l'esistenza di più classi di firewall: dai più semplici, che consentono il solo controllo dei flussi informativi, ai più complessi, che effettuano la transcodifica completa delle informazioni in ingresso, proteggendo completamente la rete aziendale da influenze esterne. Già oggi la certificazione per la conformità specifiche tecniche sviluppato in conformità con le Linee guida materiale tecnico cosa è permesso legislazione vigente, passato tale firewall come Sun Screen, SKIPbridge e Pandora. Tuttavia, anche con la loro certificazione, c'è stata una lotta.

Tenendo conto dei requisiti della sicurezza delle informazioni e della pratica mondiale nel campo della protezione delle informazioni, sembra opportuno che la Russia aderisca ai sistemi consolidati di standardizzazione e certificazione internazionali delle tecnologie dell'informazione, il che in pratica significa:

· Allineamento degli standard nazionali e di settore con quelli internazionali;

· Partecipazione di rappresentanti russi a sistemi di certificazione internazionali (inclusi test di certificazione);

· La possibilità di riconoscere certificati internazionali in Russia.

Inoltre, in conformità alla normativa vigente, qualsiasi organizzazione che raccolga ed elabori dati personali (ad esempio, transazioni con carte plastiche) deve essere autorizzata a svolgere tali attività e utilizzare mezzi certificati per questo.

FSTEC della Russia (ex Commissione tecnica statale) ha sviluppato il quadro normativo necessario per proteggere le informazioni dall'accesso non autorizzato. Consideriamo la struttura dei principali documenti guida.

1. « Protezione contro l'accesso non autorizzato alle informazioni. Termini e definizioni"- stabilisce uno standard terminologico unificato nel campo della protezione dei fondi tecnologia informatica e sistemi automatizzati dall'accesso non autorizzato alle informazioni, il cui utilizzo è obbligatorio in tutti i tipi di documentazione.

2. « Il concetto di protezione delle apparecchiature informatiche e dei sistemi automatizzati dall'accesso non autorizzato alle informazioni "- descrive i principi di base su cui si basa il problema della protezione delle informazioni dall'accesso non autorizzato e la sua relazione con problema comune informazioni di sicurezza. Il concetto riflette le seguenti questioni: la definizione di accesso non autorizzato, i principi di base della protezione, il modello di un intruso nei sistemi automatizzati, i principali metodi di accesso non autorizzato, le principali aree di protezione, le principali caratteristiche dei mezzi tecnici di protezione, la classificazione dei sistemi automatizzati, l'organizzazione del lavoro sulla protezione. Questo concetto è destinato a clienti, sviluppatori e utenti di tecnologie informatiche e sistemi automatizzati, il cui scopo principale è: elaborazione, archiviazione e trasmissione di informazioni protette.

3. "Mezzi di protezione delle informazioni. Protezione delle informazioni nei registratori di cassa e nei sistemi di cassa automatizzati. Classificazione di registratori di cassa, sistemi di cassa automatizzati e requisiti di sicurezza delle informazioni "- stabilisce la classificazione dei registratori di cassa, dei sistemi di cassa automatizzati, dell'informatica ei requisiti per la protezione delle informazioni in materia fiscale. In conformità con questo documento, vengono stabilite 2 classi di registratori di cassa, sistemi di cassa automatizzati e tecnologia dell'informazione. La prima classe comprende sistemi che elaborano informazioni sul fatturato in contanti per un importo fino a 350 salari minimi al giorno e la seconda per un importo di oltre 350 salari minimi.

4. “Strutture informatiche. Protezione contro l'accesso non autorizzato alle informazioni. Indicatori di sicurezza contro l'accesso non autorizzato alle informazioni"- disciplina i requisiti per la sicurezza delle apparecchiature informatiche da accessi non autorizzati, applicati al software a livello di sistema e sistemi operativi... Esistono sette classi di sicurezza, suddivise in quattro gruppi. Ogni classe contiene un elenco di meccanismi per proteggere le informazioni dall'accesso non autorizzato necessari per l'implementazione.

5. “Sistemi automatizzati. Protezione contro l'accesso non autorizzato alle informazioni. Classificazione dei sistemi automatizzati e requisiti per la protezione delle informazioni "- classifica i sistemi automatizzati in funzione della disponibilità delle informazioni, dei diversi livelli di riservatezza, dei livelli di autorità dei soggetti di accesso, delle modalità di trattamento dei dati in nove classi e prevede per ciascuna di esse un insieme di requisiti. A seconda delle peculiarità dell'elaborazione delle informazioni nei sistemi automatizzati, le classi sono suddivise in tre gruppi.

6. “Strutture informatiche. Firewall. Protezione contro l'accesso non autorizzato alle informazioni. Indicatori di sicurezza contro l'accesso non autorizzato alle informazioni"- dichiara i requisiti per le diverse classi di firewall. In totale, ci sono cinque classi di sicurezza firewall. La classificazione viene effettuata in base alla classe di sicurezza dei sistemi automatizzati, che è protetta dal firewall.

Sulla base delle linee guida e del quadro normativo dell'FSTEC della Russia, viene effettuato lo sviluppo, la certificazione e l'uso di mezzi di protezione delle informazioni dall'accesso non autorizzato, nonché la concessione di licenze alle imprese per il diritto di operare nel campo della protezione delle informazioni sul territorio della Federazione Russa.

FSTEC della Russia effettua la licenza per la protezione tecnica delle informazioni riservate. Per ottenere una licenza, il richiedente deve soddisfare i seguenti requisiti e condizioni:

la presenza nello staff di specialisti con superiori educazione professionale nel campo della protezione tecnica dell'informazione o dell'istruzione professionale (tecnica) superiore o secondaria e coloro che hanno seguito una riqualificazione o una formazione avanzata nel campo della protezione tecnica dell'informazione;
il richiedente la licenza dispone di locali per lo svolgimento di attività autorizzate che soddisfano gli standard tecnici e i requisiti per la protezione tecnica delle informazioni stabiliti dagli atti normativi della Federazione Russa e che gli appartengono per diritto di proprietà o altro Basi legali;
disponibilità, su qualsiasi base giuridica, di apparecchiature di produzione, collaudo e controllo e misurazione che sono state sottoposte a verifica metrologica (calibrazione), marcatura e certificazione secondo la legislazione della Federazione Russa;
l'uso di sistemi automatizzati che trattano informazioni riservate, nonché mezzi per proteggere tali informazioni che hanno superato la procedura di valutazione della conformità (certificata e (o) certificata da Requisiti di sicurezza informazioni) in conformità con la legislazione della Federazione Russa;
utilizzo di programmi per elaboratori elettronici e banche dati destinati alla realizzazione di attività oggetto di licenza sulla base di un accordo con il titolare del diritto d'autore;
disponibilità di atti normativi, documenti normativi e metodologici e metodologici sulla protezione tecnica delle informazioni secondo l'elenco stabilito dal Servizio federale per il controllo tecnico e delle esportazioni

Per ottenere una licenza, il richiedente invia a FSTEC i documenti discussi nella sezione precedente di questa lezione. Oltre a questi documenti, il richiedente deve fornire quanto segue:

copie di documenti che confermano le qualifiche degli specialisti della sicurezza delle informazioni (diplomi, certificati, certificati);
copie di documenti attestanti il diritto di proprietà, il diritto di gestione economica o di gestione operativa dei locali destinati allo svolgimento delle attività in licenza, o copie di contratti di locazione per tali locali o l'uso gratuito degli stessi;
copie dei certificati di conformità dei locali protetti Requisiti di sicurezza informazione;
copie passaporto tecnico sistema automatizzato con le applicazioni, l'atto di classificazione del sistema automatizzato secondo Requisiti di sicurezza informazioni, planimetria dei mezzi e degli impianti tecnici principali e ausiliari, certificato di conformità dell'automazione Requisiti di sicurezza informazioni o certificato di conformità sistema automatizzato Requisiti di sicurezza informazioni, nonché un elenco delle risorse protette in sistemi automatizzati con evidenza documentale del grado di riservatezza di ciascuna risorsa, una descrizione processo tecnologico elaborazione delle informazioni in un sistema automatizzato;
copie di documenti attestanti il diritto di utilizzare programmi informatici e banche dati per attività autorizzate;
informazioni sulla disponibilità di apparecchiature di produzione e controllo, mezzi di protezione delle informazioni e fondi controllo di sicurezza informazioni necessarie per l'attuazione delle attività autorizzate, con l'allegato di copie di documenti sulla verifica delle apparecchiature di controllo e misurazione;
informazioni sugli atti normativi a disposizione del richiedente la licenza, documenti normativi e metodologici e metodologici sulla protezione tecnica delle informazioni

FSTEC verifica la completezza dei documenti forniti, la completezza e l'accuratezza delle informazioni in essi specificate. Se non ci sono abbastanza informazioni (documenti), FSTEC ne informa il richiedente entro 15 giorni. Entro un termine non superiore a 45 giorni dopo aver ricevuto i documenti dal richiedente, FSTEC decide di rilasciare una licenza. La decisione è formalizzata dal corrispondente atto della FSTEC.

La licenza è rilasciata per 5 anni, e dopo la scadenza di tale periodo può essere prorogato su richiesta del licenziatario.

4.3. Monitoraggio della conformità ai requisiti e alle condizioni di licenza

La funzione di monitoraggio della conformità del licenziatario ai requisiti e alle condizioni della licenza è svolta dall'autorità concedente, ovvero nel caso della protezione tecnica delle informazioni riservate - FSTEC. Il metodo di controllo è ispezioni programmate e non programmate, che sono effettuati secondo la procedura stabilita dalla legge federale n. 294 "Sulla tutela dei diritti delle persone giuridiche e dei singoli imprenditori nell'esercizio del controllo statale (vigilanza) e del controllo comunale".

Lo scopo dell'ispezione programmata è verificare che il licenziatario rispetti i requisiti e le condizioni di licenza nel processo di svolgimento delle attività per la protezione tecnica delle informazioni riservate. In relazione a una persona giuridica o a un singolo imprenditore, può essere effettuato non più di una volta nell'arco di tre anni. Le ispezioni programmate vengono eseguite in conformità con il piano di ispezione annuale, pubblicato sul sito Web ufficiale dell'FSTEC della Russia.

Il concessionario è incluso nel sopralluogo programmato in caso di decorrenza di tre anni dalla data:

registrazione statale il licenziatario;
la fine dell'ultima ispezione programmata del concessionario.

Il licenziatario viene informato entro e non oltre tre giorni lavorativi prima dell'ispezione.

L'oggetto di un'ispezione non programmata è la conformità del licenziatario ai requisiti e alle condizioni di licenza, il rispetto delle istruzioni per eliminare le violazioni rilevate e le misure per garantire la sicurezza dello stato.

La base per un'ispezione non programmata è:

scadenza del termine per l'esecuzione di un ordine precedentemente emesso al licenziatario per eliminare la violazione rilevata dei requisiti e delle condizioni della licenza;
ricezione da parte della FSTEC della Russia di domande e domande di cittadini, persone giuridiche, imprenditori individuali, informazioni da autorità pubbliche, autorità locali, da fondi mass media sui seguenti fatti:
- l'emergere di una minaccia di danno alla sicurezza dello stato;
- arrecare danno alla sicurezza dello Stato.

Le ispezioni programmate e non programmate vengono effettuate in forma documentale o in loco. La verifica documentale controlla i documenti del licenziatario e viene eseguita presso la sede di FSTEC. Durante il sopralluogo vengono controllati non solo i documenti del licenziatario, ma anche la loro conformità requisiti di licenza e condizioni.

Il periodo per l'effettuazione di ciascuno dei controlli non può superare i 20 giorni lavorativi. Sulla base degli esiti della verifica viene redatto un atto in duplice copia, al quale sono allegati i protocolli (conclusioni) degli studi (prove) e degli esami effettuati.

Riassumendo, possiamo dire che il processo per ottenere una licenza per la protezione tecnica delle informazioni riservate è molto laborioso, lungo e, cosa non trascurabile, costoso, perché per ottenere una licenza è necessario adempiere a tutte le licenze requisiti e condizioni. Il tempo più lungo è la formazione di specialisti in corsi di aggiornamento. Nonostante il numero di organizzazioni che si occupano di informazioni riservate sia piuttosto elevato, non tutte possono permettersi specialisti con un'istruzione professionale superiore nel campo della TZI. I corsi di aggiornamento privati approvati da FSTEC sono generalmente progettati per 72 ore. Il requisito più costoso in termini economici è la certificazione degli oggetti di informatizzazione (un sistema automatizzato e una stanza sicura) destinati al trattamento di informazioni riservate. Inoltre, sorge il problema dell'acquisizione di apparecchiature di controllo e misurazione, che dopo la certificazione non sono affatto necessarie, a meno che l'organizzazione non fornisca servizi di certificazione per oggetti di informatizzazione. Un'opzione alternativa è noleggiare tale attrezzatura, ma anche questo costa denaro. Pertanto, la durata del processo di licenza può richiedere da 2 a 6 mesi e comportare costi materiali significativi. L'outsourcing è una soluzione a questo problema. L'outsourcing è letteralmente "l'uso di fonti esterne". L'esternalizzazione comporta il trasferimento dall'azienda cliente a un'organizzazione terza (appaltatore) di determinate funzioni di attività legali, ad esempio la protezione tecnica delle informazioni riservate. In questo caso, il contraente utilizza il suo software, mezzi tecnici e altri mezzi di protezione, licenze, certificati, ecc., ed è anche responsabile del risultato del suo lavoro.

Inviare il tuo buon lavoro nella knowledge base è semplice. Usa il modulo sottostante

Studenti, dottorandi, giovani scienziati che utilizzano la base di conoscenza nei loro studi e nel lavoro ti saranno molto grati.

postato su http://www.allbest.ru/

Ministero dei Trasporti della Federazione Russa

Agenzia federale per i trasporti ferroviari Bilancio dello Stato federale Istituto d'Istruzione formazione professionale superiore

"Estremo Oriente Università Statale vie di comunicazione"

Dipartimento di diritto civile, commerciale e dei trasporti

Disciplina: supporto legale alla sicurezza delle informazioni

Tema: Licenze e certificazioni nel campo della sicurezza delle informazioni

Studente completato (tka)

Nepomniachtchi Natalia Evgenievna

Verificato da: docente del dipartimento:

Zheleznyakov Anatoly Mikhailovich.

Khabarovsk

introduzione

1. Licenza nel campo della protezione delle informazioni

1.1 Autorità di rilascio delle licenze - FSTEC della Russia

1.2 Autorità di rilascio delle licenze - FSB della Russia

2. Certificazione nel campo della sicurezza delle informazioni

2.1 Struttura organizzativa sistemi di certificazione

2.2 Procedura di certificazione

Conclusione

Bibliografia

introduzione

Uno dei problemi nel campo della protezione delle informazioni in Russia è la mancanza di documenti ufficiali con raccomandazioni dettagliate per costruire in sicurezza sistemi di informazione, simile a quello sviluppato, ad esempio, dall'American Institute of Standard Technologies (USA) e dallo standard britannico. Sebbene non vi siano normative nel Regno Unito che richiedano la conformità agli standard governativi, circa il 60% delle aziende e delle organizzazioni del Regno Unito utilizza volontariamente lo standard sviluppato e il resto intende implementare le sue raccomandazioni nel prossimo futuro.

La licenza e la certificazione per la sicurezza delle informazioni possono mitigare questo problema. È necessario creare garanzie per l'utente che gli strumenti di sicurezza delle informazioni da lui utilizzati siano in grado di fornire il livello di protezione richiesto. Sono le licenze che possono aiutare a garantire che solo specialisti altamente qualificati in questo campo affronteranno il problema della protezione delle informazioni e che i prodotti che creano saranno al livello appropriato e saranno in grado di superare la certificazione.

Senza certificazione, è impossibile valutare se un particolare strumento contenga capacità non documentate potenzialmente dannose, la cui presenza è particolarmente caratteristica della maggior parte dei prodotti stranieri, che possono a un certo punto portare a malfunzionamenti del sistema e persino a conseguenze irreversibili per esso. Un tipico esempio di tali capacità non documentate è quello messo a punto da Ericsson nello sviluppo delle centrali telefoniche, sulla base del quale il Ministero delle Ferrovie RF costruisce il suo rete telefonica, la possibilità di bloccare il proprio lavoro quando si riceve una chiamata a un numero di telefono specifico, che l'azienda si rifiuta di nominare. E questo esempio non è l'unico.

Il processo di certificazione di un prodotto software richiede circa lo stesso tempo del suo sviluppo ed è praticamente impossibile senza codici sorgente di programmi con commenti. Allo stesso tempo, molte aziende straniere non vogliono inviare il codice sorgente del loro prodotti software ai centri di certificazione russi. Ad esempio, nonostante l'accordo di principio di Microsoft per certificare Windows NT in Russia, in cui sono già stati identificati più di 50 errori di sicurezza, questo problema non è riuscito a decollare per molti mesi a causa della mancanza del suo codice sorgente.

Il documento presuppone l'esistenza di più classi di firewall: dai più semplici, che consentono il solo controllo dei flussi informativi, ai più complessi, che effettuano la transcodifica completa delle informazioni in ingresso, proteggendo completamente la rete aziendale da influenze esterne. Già oggi firewall come Sun Screen, SKIPbridge e Pandora hanno superato la certificazione per la conformità alle Linee guida tecniche, come consentito dalla legge applicabile. Tuttavia, anche con la loro certificazione, c'è stata una lotta.

1. Licenza nel campo della protezione delle informazioni

1.1 Autorità di rilascio delle licenze - FSTEC della Russia

I requisiti di licenza per un richiedente una licenza per svolgere attività per lo sviluppo e la produzione di SZKI (di seguito denominata licenza) sono:

1. il richiedente la licenza ha almeno due specialisti con un'istruzione professionale superiore nel campo della sicurezza tecnica dell'informazione o un'istruzione tecnica superiore o professionale (tecnica) secondaria e ha seguito un corso di riqualificazione o formazione avanzata nello sviluppo e (o) produzione di sistemi di sicurezza dell'informazione ; specialista in garanzia per la protezione dell'utente

2. la presenza di locali per l'attuazione del tipo di attività oggetto della licenza che soddisfi i requisiti della documentazione tecnica e tecnologica, delle norme nazionali e dei documenti metodologici nell'OZI e appartenenti al richiedente la licenza sulla base della proprietà o su altra base giuridica;

3. la presenza sul diritto di proprietà o su un'altra base giuridica necessaria per l'attuazione del tipo di attività autorizzato di apparecchiature di controllo e misurazione (approvato in conformità con la legislazione della Federazione Russa verifica metrologica (calibrazione) e marcatura), produzione e apparecchiature di prova;

4.la disponibilità di programmi destinati all'attuazione del tipo di attività oggetto di licenza (compresi gli strumenti di sviluppo software per SZKI) per computer elettronici e banche dati di proprietà del richiedente la licenza sulla base della proprietà o su altra base giuridica;

5. la presenza di licenze di proprietà del richiedente in base alla proprietà o ad altro fondamento giuridico, documentazione tecnica e tecnologica, documentazione contenente norme nazionali e documenti metodologici necessari per lo svolgimento del tipo di attività oggetto di licenza secondo l'elenco approvato dal FSTEC della Russia;

6.la disponibilità di un sistema di controllo della produzione, comprese le regole e le procedure per il controllo e la valutazione del sistema per lo sviluppo di SZKI, tenendo conto delle modifiche apportate alla progettazione e documentazione di progettazione per i prodotti in sviluppo

7.la disponibilità di un sistema di controllo della produzione, comprese le regole e le procedure per il controllo e la valutazione del sistema di produzione SZKI, la valutazione della qualità dei prodotti e l'invariabilità impostare i parametri, tenendo conto delle modifiche alla documentazione tecnica e progettuale per i prodotti fabbricati, tenendo conto dei prodotti finiti V. Kiyaev, O. Granichin. // Sicurezza dei sistemi informativi // National Open University "INTUIT" * 2016 // pp. 105-106

1.2 Autorità per il rilascio delle licenze - FSB della Russia

I requisiti di licenza per il richiedente la licenza sono:

1Disponibilità delle persone nello stato del richiedente la licenza per la mansione principale secondo la tabella degli organici del seguente personale qualificato:

2. un manager e (o) una persona autorizzata a gestire il lavoro su un tipo di attività con licenza, con una formazione professionale superiore nel campo della sicurezza delle informazioni in conformità con il "classificatore di specialità tutto russo" e (o) riqualificato in una delle specialità di questa direzione (il periodo normativo è di oltre 500 ore di lezione), nonché quelli con almeno 5 anni di esperienza lavorativa nel tipo di attività autorizzata;

3. Ingegneri e tecnici (almeno due persone) che hanno una formazione professionale superiore nel campo della sicurezza delle informazioni in conformità con il "Classificatore di specialità tutto russo" e (o) hanno subito una riqualificazione in questa specialità (il periodo standard supera le 100 ore di aula);

4. la presenza di locali per lo svolgimento del tipo di attività oggetto di licenza che soddisfino i requisiti della documentazione tecnica e tecnologica, delle norme nazionali e dei documenti metodologici in materia di RFI e di pertinenza del richiedente la licenza in base alla proprietà o ad altro diritto base;

5. se il richiedente ha una licenza sul diritto di proprietà o su un'altra base legale, apparecchiature di controllo e misurazione (passate in conformità con la legislazione della Federazione Russa verifica metrologica (calibrazione) ed etichettatura), produzione, apparecchiature di prova e altri oggetti necessario per l'attuazione del tipo di attività autorizzata;

6.la disponibilità di programmi destinati all'attuazione del tipo di attività oggetto di licenza (compresi gli strumenti di sviluppo software per SZKI) per computer elettronici e banche dati di proprietà del richiedente la licenza in base alla proprietà o su altra base giuridica;

7. la disponibilità di strutture di elaborazione delle informazioni certificate in conformità con i requisiti di sicurezza delle informazioni utilizzati per lo sviluppo e la produzione di SZKI, in conformità con i requisiti per la protezione delle informazioni;

8.la disponibilità di un sistema di controllo della produzione, comprese le regole e le procedure per la verifica e la valutazione del sistema per lo sviluppo di SZKI, tenendo conto delle modifiche apportate alla documentazione di progettazione e costruzione per i prodotti in fase di sviluppo

9.la disponibilità di un sistema di controllo della produzione, comprese le regole e le procedure per verificare e valutare il sistema di produzione di SZKI, valutando la qualità dei prodotti e l'invariabilità dei parametri stabiliti, tenendo conto delle modifiche apportate alla documentazione tecnica e progettuale per prodotti fabbricati, contabilizzazione dei prodotti finiti Snytikov AA Licenze e certificazioni nel campo della sicurezza delle informazioni.-M: Helios ARV, 2012 // pp. 223-224

2. Certificazione di sicurezza delle informazioni

2.1 Struttura organizzativa del sistema di certificazione

La struttura organizzativa del sistema di certificazione è formata da:

1. Commissione tecnica statale della Russia (organismo federale per la certificazione dei mezzi di sicurezza delle informazioni);

2. l'organismo centrale del sistema di certificazione dei mezzi per la sicurezza delle informazioni;

3. organismi di certificazione dei mezzi per la sicurezza delle informazioni;

4. centri di prova (laboratori);

5. Richiedenti (sviluppatori, produttori, fornitori, consumatori di prodotti per la sicurezza delle informazioni).

2 La Commissione tecnica statale della Russia, nell'ambito delle sue competenze, svolge le seguenti funzioni:

1. Crea un sistema per la certificazione dei mezzi di sicurezza delle informazioni e stabilisce le regole per la certificazione di tipi specifici di mezzi di sicurezza delle informazioni in questo sistema;

2. organizza il funzionamento del sistema di certificazione dei mezzi per la sicurezza delle informazioni;

3.determina l'elenco dei mezzi di protezione delle informazioni soggetti a certificazione obbligatoria in questo sistema;

4. stabilisce le regole per l'accreditamento e il rilascio delle licenze per l'esecuzione di lavori di certificazione;

5. organizza e finanzia lo sviluppo dei documenti normativi e metodologici per il sistema di certificazione dei mezzi per la sicurezza delle informazioni;

6. determina l'organismo centrale del sistema di certificazione dei mezzi per la sicurezza delle informazioni (se necessario) o svolge le funzioni di tale organismo;

7. approva i documenti normativi in materia di sicurezza delle informazioni, per il rispetto dei quali viene effettuata la certificazione dei mezzi di sicurezza delle informazioni nel sistema, ei documenti metodologici per l'effettuazione dei test di certificazione;

8. accreditare organismi di certificazione e centri di prova (laboratori), rilasciare loro licenze per il diritto di eseguire determinati tipi di lavoro;

9.cavi Registro di Stato partecipanti e oggetti di certificazione;

10. esercita il controllo e la vigilanza statale e stabilisce la procedura per il controllo ispettivo sul rispetto delle regole di certificazione e sui mezzi certificati di sicurezza delle informazioni;

11. valuta i ricorsi su questioni di certificazione;

12. presenta un sistema di certificazione e un marchio di conformità per la registrazione statale allo Standard statale della Russia;

13. organizza la pubblicazione periodica delle informazioni sulla certificazione;

14. interagisce con il relativo organismi autorizzati altri paesi e organizzazioni internazionali su questioni di certificazione, decide sul riconoscimento di certificati internazionali ed esteri;

15. organizza la formazione e la certificazione di esperti - auditor;

16. rilascia certificati e licenze per l'uso del marchio di conformità;

17. sospende o revoca i certificati emessi.

2.2 Procedura di certificazione

La procedura di certificazione prevede i seguenti passaggi:

deposito ed esame di una domanda di certificazione dei mezzi di sicurezza delle informazioni; sperimentazione di strumenti certificati per la sicurezza delle informazioni e certificazione della loro produzione;

esame dei risultati delle prove, esecuzione, registrazione e rilascio di certificato e licenza per il diritto all'uso del marchio di conformità;

attuazione del controllo e della supervisione statale, controllo ispettivo sul rispetto delle regole di certificazione obbligatoria e sui mezzi certificati di protezione delle informazioni.

informare sui risultati della certificazione dei mezzi di sicurezza delle informazioni;

esame dei ricorsi.

Presentazione ed esame di una domanda di certificazione di prodotti per la sicurezza delle informazioni.

Per ottenere un certificato, il richiedente invia una domanda (Appendice 1) alla Commissione tecnica statale della Russia per i test con l'indicazione dello schema di certificazione, degli standard e di altri documenti normativi per la conformità ai requisiti di cui deve essere eseguita la certificazione.

La Commissione tecnica statale della Russia, entro un mese dal ricevimento della domanda, invia al richiedente, all'organismo di certificazione e al centro di prova (laboratorio) designato per la certificazione, una decisione di eseguire la certificazione (appendice 2). Su richiesta del richiedente, l'organismo di certificazione e il centro di prova (laboratorio) possono essere modificati.

Dopo aver ricevuto la decisione, il richiedente è obbligato a presentare all'organismo di certificazione e al centro di prova (laboratorio) mezzi di sicurezza delle informazioni in conformità con il TU per questo strumento, nonché una serie di documentazione tecnica e operativa, in conformità con la normativa documenti per ESKD, ESPD per lo strumento di sicurezza delle informazioni certificato.

Test di strumenti certificati per la sicurezza delle informazioni in centri di prova (laboratori).

I test degli strumenti certificati per la sicurezza delle informazioni vengono eseguiti su campioni, la cui progettazione, composizione e tecnologia di fabbricazione deve essere la stessa dei campioni forniti al consumatore, al cliente secondo i programmi e i metodi di prova concordati con il richiedente e il approvato ente di certificazione. La documentazione tecnica e operativa per gli strumenti di sicurezza delle informazioni seriali deve avere una lettera non inferiore a "O1" (secondo ESKD).

Il numero dei campioni, la procedura per la loro selezione e identificazione devono essere conformi ai requisiti dei documenti normativi e metodologici per vista data mezzi di sicurezza delle informazioni.

Se non esistono centri di prova (laboratori) al momento della certificazione, l'organismo di certificazione determina la possibilità, il luogo e le condizioni delle prove, garantendo l'obiettività dei loro risultati.

La tempistica delle prove è stabilita da un accordo tra il richiedente e il centro di prova (laboratorio).

Su richiesta del richiedente, ai suoi rappresentanti dovrebbe essere data l'opportunità di familiarizzare con le condizioni di conservazione e test di campioni di mezzi di sicurezza delle informazioni nel centro di test (laboratorio). Kiyaev V., Granichin O. // Sicurezza dei sistemi informativi // National Open University "INTUIT" * 2016 // pp. 105-106

I risultati del test sono documentati in protocolli e conclusioni, che vengono inviati dal centro di test (laboratorio) all'organismo di certificazione e in una copia - al richiedente.

Quando si apportano modifiche alla progettazione (composizione) dei mezzi di sicurezza delle informazioni o della loro tecnologia di produzione, che possono influenzare le caratteristiche dei mezzi di sicurezza delle informazioni, il richiedente (sviluppatore, produttore, fornitore) informa l'organismo di certificazione. Quest'ultimo decide sulla necessità di nuovi test di questi strumenti di sicurezza delle informazioni.

La certificazione degli strumenti di sicurezza delle informazioni importate viene effettuata secondo le stesse regole di quelle nazionali.

Conclusione

Si tratta quindi di una procedura di valutazione della conformità attraverso la quale un'organizzazione indipendente dal produttore (venditore) e dal consumatore (acquirente) certifica per iscritto che il prodotto soddisfa i requisiti stabiliti. Se parliamo di certificazione in relazione ai mezzi di sicurezza delle informazioni, allora questa è un'attività per confermare la loro conformità ai requisiti delle normative tecniche, degli standard nazionali o di altri documenti normativi sulla sicurezza delle informazioni.

Il sistema di certificazione stesso è rappresentato da FSTEC della Russia, che è subordinato a organismi di certificazione accreditati per mezzi di sicurezza delle informazioni e laboratori di prova.

L'intero sistema di certificazione garantisce, in primo luogo, il raggiungimento della sicurezza nazionale nel campo dell'informatizzazione. Altrettanto importante è la formazione e l'attuazione di una politica scientifica, tecnica e industriale unificata nel campo dell'informatizzazione. Oltre all'assistenza nella formazione di un mercato delle tecnologie dell'informazione sicure e dei mezzi per il loro supporto, regolamentazione e controllo dello sviluppo, nonché successiva produzione di mezzi per la sicurezza delle informazioni, assistenza ai consumatori nella scelta competente dei mezzi per la sicurezza delle informazioni, protezione del consumatore dalla disonestà del contraente (venditore, produttore), conferma degli indicatori di qualità dei prodotti.

Licenze - attività relative alla concessione delle licenze, alla riemissione dei documenti che confermano la disponibilità delle licenze, alla sospensione e al rinnovo delle licenze, alla revoca delle licenze e al controllo delle autorità preposte al rilascio delle licenze sull'osservanza da parte dei licenziatari nell'attuazione delle attività autorizzate dei relativi requisiti e condizioni di licenza.

Licenza: un permesso speciale per svolgere un tipo specifico di attività soggetto al rispetto obbligatorio dei requisiti e delle condizioni di licenza, rilasciato dall'autorità di rilascio della licenza a una persona giuridica o a un singolo imprenditore.

Le attività di licenza nel campo della sicurezza delle informazioni sono svolte dall'FSB e dall'FSTEC della Russia. Considerare le attività autorizzate nel campo della protezione delle informazioni riservate.

FSB della Russia:

1. Sviluppo e (o) produzione di mezzi per proteggere le informazioni riservate (di competenza dell'FSB)

2. Sviluppo, produzione, vendita e acquisto ai fini della vendita di mezzi tecnici speciali destinati alla ricezione segreta di informazioni da parte di singoli imprenditori e persone giuridiche impegnate in attività imprenditoriali

3.Attività da identificare dispositivi elettronici, destinati alla ricezione segreta di informazioni, nei locali e nei mezzi tecnici (salvo il caso in cui l'attività specificata sia svolta per soddisfare le proprie esigenze di una persona giuridica o di un singolo imprenditore)

4.Attività per la distribuzione di mezzi di cifratura (crittografici)

5. Attività di manutenzione delle strutture di crittografia (crittografica)

6.Fornitura di servizi nel campo della crittografia delle informazioni

7. Sviluppo, produzione di mezzi di cifratura (crittografici), protetti mediante mezzi di cifratura (crittografici) di sistemi informativi, sistemi di telecomunicazione.

Bibliografia

1 . V. Kiyaev, O. Granichin // Sicurezza dei sistemi informativi // Università Nazionale Aperta "INTUIT" * 2016 anno // pp. 105-106

2. Snytikov A.A. Licenze e certificazioni nel campo della sicurezza delle informazioni.-M: Helios ARV, 2012 // pp. 223-224

3. Sistema di certificazione dei mezzi di protezione crittografica delle informazioni: N. ROSS RU.0001.030001 del 15 novembre 2012.

4.Bumazhkov A. Kirina A. Licenze e certificazioni nel campo della sicurezza delle informazioni

5. Termini e definizioni nel campo della sicurezza delle informazioni, Mosca, 2011

Pubblicato su Allbest.ru

...

Documenti simili

Principi di base che la sicurezza delle informazioni dovrebbe garantire, il suo quadro normativo e giuridico. organi statali RF, attività di controllo nel campo della sicurezza delle informazioni, documenti normativi in questo settore. Modalità di protezione delle informazioni.

estratto aggiunto il 24.09.2014

Mezzi e metodi per risolvere vari compiti di protezione delle informazioni, prevenzione delle perdite, garanzia della sicurezza delle informazioni protette. Sicurezza delle informazioni tecnica (hardware), software, organizzativa, mista hardware e software.

abstract, aggiunto il 22/05/2010

Supporto legale e normativo della sicurezza delle informazioni nella Federazione Russa. Regime giuridico dell'informazione. Organismi che garantiscono la sicurezza delle informazioni della Federazione Russa. Servizi che organizzano la sicurezza delle informazioni a livello aziendale. Standard di sicurezza delle informazioni.

presentazione aggiunta il 19/01/2014

I principali metodi di accesso non autorizzato alle informazioni in sistemi informatici e protezione da esso. Atti organizzativi, legali e normativi internazionali e nazionali per garantire la sicurezza delle informazioni dei processi di elaborazione delle informazioni.

abstract aggiunto il 04/09/2015

L'informazione come parte più importante del moderno sistema di comunicazione. Disciplina legale nel campo della sicurezza delle informazioni. Documenti legali e regolamentari che regolano la protezione delle informazioni. Forme organizzative e giuridiche di tutela del segreto di Stato.

test, aggiunto il 03/11/2009

Raccomandazioni per lo sviluppo delle piccole imprese. Tutela dei diritti di proprietà, sviluppo delle istituzioni di mercato. Tasse e loro amministrazione. Sistema di licenze e autorizzazioni. Controlli, multe e sanzioni. Accesso alle informazioni e apertura dello Stato.

abstract, aggiunto il 31/05/2009

Obiettivi dell'attuazione della licenza nel campo della protezione ambiente e l'uso delle risorse naturali. L'elenco dei tipi di licenze - documenti che danno il diritto di utilizzare un tipo di risorsa naturale in luogo stabilito e a determinate condizioni.

test, aggiunto il 19/12/2012

Licenza come ente civile. Programma di governo privatizzazione delle imprese statali e municipali in Russia. Funzioni servizio federale sulla vigilanza nel settore dei trasporti. Licenza attività imprenditoriale.

Il concetto di informazione, risorse informative, il loro posto nel diritto moderno. Segni di informazioni con accesso limitato. Il regime giuridico di protezione che costituisce segreto di Stato, d'ufficio, professionale; garantire l'inaccessibilità a terzi.

abstract aggiunto il 13/12/2013

Licenza come modulo regolamento statale... La procedura per l'autorizzazione delle attività delle banche e degli enti creditizi e finanziari non bancari. Licenza di attività per la progettazione e costruzione di edifici e perizie ingegneristiche.

Concessione in licenza di attività per la protezione tecnica delle informazioni riservate

Per l'anno scorso Il quadro sub-legislativo nel campo della sicurezza delle informazioni ha formato meccanismi costosi, confusi e contraddittori che non tengono conto né delle peculiarità del trattamento delle informazioni riservate nei vari campi di attività, né della capacità degli operatori di rispettare i requisiti stabiliti. Inoltre, i requisiti per gli operatori di sistemi informativi che elaborano informazioni riservate, compresi i dati personali, dall'FSTEC della Russia includono un tale meccanismo di regolamentazione statale come licenza di attività per la protezione tecnica delle informazioni riservate, per l'attuazione della quale la maggior parte degli operatori fa non disporre di risorse materiali e di lavoro sufficienti. Ciò è particolarmente vero per le organizzazioni di bilancio nel campo dell'istruzione, dei servizi medici, degli alloggi e dei servizi comunali. Sono sorti problemi legali a causa dell'assenza nella legislazione federale di leggi sulla protezione delle informazioni riservate, ad esempio segreti d'ufficio, segreti professionali, ambiguità delle disposizioni, nonché ripetute modifiche e integrazioni apportate alla legge federale n. 152 "On Dati Personali", altri atti normativi... Allo stesso tempo, le leggi federali richiedono ulteriori precisazioni e chiarimenti mediante decreti del governo della Federazione Russa e documenti metodologici dell'FSTEC e dell'FSB della Russia.

Adozione da parte del Governo della Federazione Russa del Decreto n. 79 del 3 febbraio 2012 "Sulle attività di concessione di licenze per la protezione tecnica delle informazioni riservate" con l'approvazione del "Regolamento sulle attività di concessione di licenze per la protezione tecnica delle informazioni riservate" (di seguito denominato Regolamento) e l'annullamento del precedente decreto del 15 agosto 2006 n. 504, solleva ancora una volta la questione, cosa c'è di nuovo in detto regolamento ed è una licenza del FSTEC della Russia necessaria se l'organizzazione protegge la riservatezza informazioni “per i propri bisogni”, e non fornisce servizi per soldi?

Ai sensi della clausola 1, il Regolamento determina la procedura per l'autorizzazione delle attività per la protezione tecnica delle informazioni riservate (non contenenti informazioni che costituiscono un segreto di Stato, ma protette secondo la legislazione della Federazione Russa), svolte da persone giuridiche e individui imprenditori.

E la domanda sorge immediatamente con il termine "informazioni riservate", che viene fornito nei Regolamenti e viene utilizzato nei documenti del FSTEC della Russia, ma è assente nella legislazione federale. Legge federale n. 149 del 27.07. 2006 " A proposito di informazioni, tecnologie dell'informazione e sulla protezione delle informazioni "al comma 7 dell'art. 2 fornisce solo una definizione della riservatezza delle informazioni, in quanto obbligatoria per la persona che ha avuto accesso a determinate informazioni, l'obbligo di non cedere tali informazioni a terzi senza il consenso del titolare. Riservatezza nella traduzione dal latino significa "fiducia" (ovvero, trasmettendo tali informazioni, si augura la loro sicurezza e non proliferazione, poiché la loro divulgazione può causare un certo danno alle parti). Si noti che la mancanza di chiarezza di alcuni termini, nonché cambiamenti a volte irragionevoli nelle definizioni e nei concetti legislazione sull'informazione non migliorare regolamento legale v sfera dell'informazione... Allo stesso tempo, il FSTEC della Russia continua a utilizzare il termine "informazioni riservate", che i legislatori hanno già abbandonato.

Secondo la legislazione della Federazione Russa, i segni obbligatori di informazioni con accesso limitato dovrebbero essere:

le informazioni hanno valore effettivo o potenziale per il titolare in quanto sconosciute a terzi. Tali persone possono essere lo stato, legali o individui;
Nessuna informazione disponibile accesso libero legalmente. La possibilità di tenerlo all'insaputa di terzi è stabilito dalla legge federale;
il proprietario delle informazioni adotta misure per proteggerle.

Il 6 marzo 1997, il Presidente della Federazione Russa ha emesso il decreto n. 188, che ha approvato l'"Elenco delle informazioni riservate", in base al quale le seguenti informazioni sono state classificate come informazioni riservate:

su fatti, eventi e circostanze privacy un cittadino, consentendo l'identificazione della sua identità (dati personali), ad eccezione delle informazioni soggette a diffusione nei media nei casi previsti dalle leggi federali;
che costituisce il segreto delle indagini e del procedimento giudiziario;
il cui accesso è limitato dalle autorità pubbliche ai sensi del Codice Civile della Federazione Russa e delle leggi federali ( segreto ufficiale);
connesso con attività professionali, il cui accesso è limitato in conformità con la Costituzione della Federazione Russa e le leggi federali (medico, notarile, segreto dell'avvocato, riservatezza della corrispondenza, conversazioni telefoniche, articoli postali, telegrafo o altri messaggi, ecc.);
quelli relativi ad attività commerciali, il cui accesso è limitato ai sensi del Codice Civile della Federazione Russa e delle leggi federali (segreti commerciali);
sull'essenza dell'invenzione, modello di utilità o design industriale prima della pubblicazione ufficiale delle informazioni su di essi.

La nuova Delibera chiarisce inoltre il termine "tutela tecnica delle informazioni riservate" (di seguito - TZKI), che, ai sensi dell'articolo 2 del Regolamento, significa:

Esecuzione del lavoro e (o) fornitura di servizi per proteggerlo da accessi non autorizzati, da perdite su canali tecnici, nonché da influenze speciali su tali informazioni al fine di distruggerle, distorcerle o bloccarne l'accesso.

In questo modo viene o sull'esecuzione di lavori sul TZKI, o sulla fornitura di servizi sul TZKI, o su attività congiunte.

Nello svolgimento di attività per la protezione tecnica delle informazioni riservate I seguenti tipi di lavori e servizi sono soggetti a licenza:

controllo sulla protezione delle informazioni riservate da perdite attraverso canali tecnici in:

- mezzi e sistemi di informatizzazione;

Mezzi tecnici (sistemi) che non trattano dati riservati

informazioni, ma collocate nei locali in cui vengono trattate;

Locali con strutture (impianti) da proteggere;

Locali destinati allo svolgimento di trattative riservate (di seguito - locali protetti);

controllo sulla protezione delle informazioni riservate dall'accesso non autorizzato e dalla loro modifica nei mezzi e nei sistemi di informatizzazione;
prove di certificazione per la conformità ai requisiti di sicurezza delle informazioni dei prodotti utilizzati per proteggere le informazioni riservate (mezzi tecnici di protezione delle informazioni, mezzi tecnici protetti di elaborazione delle informazioni, mezzi tecnici per monitorare l'efficacia delle misure di protezione delle informazioni, mezzi software (software e hardware) di protezione delle informazioni (di seguito - SSS), software protetti (software e hardware) strumenti di elaborazione delle informazioni, controlli software (software e hardware) per la sicurezza delle informazioni);
test di attestazione e attestazione per la conformità ai requisiti di protezione delle informazioni:

Locali protetti;

disegno protetto:

- mezzi e sistemi di informatizzazione;

Locali con mezzi (sistemi) di informatizzazione da proteggere;

Locali protetti;

installazione, installazione, collaudo, riparazione di mezzi di sicurezza delle informazioni (sistemi tecnici di sicurezza delle informazioni, mezzi tecnici protetti di elaborazione delle informazioni, mezzi tecnici di monitoraggio dell'efficacia delle misure di protezione delle informazioni, mezzi di sicurezza delle informazioni software (software e hardware), software protetto (software e hardware) mezzi di elaborazione delle informazioni, software (software e hardware) mezzi di controllo della sicurezza delle informazioni).

Allo stesso tempo, il funzionamento del sistema di sicurezza delle informazioni, in contrasto con il funzionamento dei fondi protezione crittografica, dove l'autorità di rilascio delle licenze è l'FSB della Russia, non si applica al tipo di attività autorizzata. Questa posizione del FSTEC della Russia solleva interrogativi. Perché solo le prime fasi della creazione di un sistema di protezione sono autorizzate - la progettazione del sistema di protezione e l'installazione dei mezzi di protezione? Perché il lavoro quotidiano di specialisti e servizi di sicurezza delle informazioni per il funzionamento e il controllo dell'efficacia dei sistemi di sicurezza delle informazioni non è soggetto a licenza? Dopotutto, non è meno importante della creazione di un sistema di protezione, poiché i compiti di concedere in licenza determinati tipi di attività sono prevenire, identificare e sopprimere le violazioni da parte di un'entità legale, del suo capo e di altri. funzionari requisiti stabiliti dalla legge federale del 4.5.2011. No. 99-FZ "Sulla licenza di determinati tipi di attività", altre leggi federali e altri atti normativi della Federazione Russa adottati in conformità con esse.

In virtù del comma 1 dell'art. 49 del codice civile della Federazione Russa in alcuni tipi di attività, il cui elenco è determinato dalla legge, una persona giuridica può essere impegnata solo sulla base di permesso speciale(licenze). I tipi di attività per cui è necessario ottenere una licenza sono indicati nella legge federale del 4.05.2011 N 99-ФЗ "Sulla licenza di determinati tipi di attività", comma 5 dell'art. 12 di cui include tra queste tipologie e attività su TZKI.

Il concetto di "servizi" indica un certo tipo di contratto (Capitolo 39, articoli 779-783 del codice civile della Federazione Russa), cioè una transazione multilaterale in cui deve necessariamente esserci un'altra parte (clausola 1 dell'articolo 154 del Codice Civile della Federazione Russa). Ma il concetto di "lavoro" non è definito nella legge e può essere definito solo sulla base di molti significati in russo: "occupazione, lavoro, attività".

Pertanto, dalla formulazione di cui sopra, si può concludere che le attività su TZKI, sia di terzi ("servizi") che per proprie esigenze ("lavori"), sono soggette a licenza.

Di conseguenza, se un'organizzazione, nell'ambito della protezione delle informazioni riservate interne, esegue lavori sulla sua protezione tecnica, deve ottenere una licenza appropriata. Ad esempio, in relazione alla protezione dei dati personali, l'operatore non ha “proprie esigenze” per la loro protezione, e non può esistere in forza di legge. L'unico scopo della legge federale n. 152 "Sui dati personali" è garantire la protezione dei diritti e delle libertà umani e civili durante il trattamento dei suoi dati personali. La legge non specifica altri obiettivi (compreso il soddisfacimento delle esigenze degli operatori). Inoltre, FZ 99-FZ "Sull'autorizzazione di determinati tipi di attività" include tipi di attività che possono comportare danni ai diritti, agli interessi legittimi e alla salute dei cittadini. La legge non distingue tra gli interessi del soggetto dei dati personali (dipendente) e del soggetto dei dati personali (terzo) sul diritto costituzionale di un cittadino al segreto personale. Il legislatore (attraverso l'istituto delle licenze) protegge qualsiasi soggetto di dati personali dalle conseguenze di prestazioni di lavoro di scarsa qualità su TZKI.

Regolamento amministrativo del FSTEC della Russia per l'esecuzione funzione di stato sulle attività di concessione della licenza per TZKI (di seguito il Regolamento Amministrativo), approvato con ordinanza del 28.08.07. N. 181 secondi ultime modifiche del 30.09.2011, in conformità con l'ordinanza n. 515, i termini e la sequenza delle azioni (procedure amministrative) del FSTEC della Russia sono stati determinati nell'esercizio dei poteri di licenza delle attività del TZKI. La licenza è l'oggetto delle attività di TZKI svolte da persone giuridiche e singoli imprenditori.

Analisi delle disposizioni Regolamenti Amministrativi mostra che la procedura per ottenere una licenza per TZKI richiede molto tempo, fatica e denaro. Per ottenere una licenza per le attività TZKI, è necessario confermare la possibilità di soddisfare i requisiti e le condizioni di licenza determinati dal Regolamento.

I requisiti di licenza per un richiedente una licenza per svolgere attività nell'ambito di TZKI sono (clausola 5 del Regolamento):

a) il richiedente la licenza ha una persona giuridica: specialisti che fanno parte del personale del richiedente la licenza, che hanno un'istruzione professionale superiore nel campo della sicurezza delle informazioni tecniche o un'istruzione tecnica superiore o professionale (tecnica) secondaria e hanno seguito un corso di riqualificazione o formazione avanzata nella sicurezza delle informazioni tecniche.

b) il richiedente la licenza (licenziatario) dispone di locali per lo svolgimento di attività autorizzate che soddisfano gli standard tecnici e i requisiti per la protezione tecnica delle informazioni stabiliti dagli atti normativi della Federazione Russa e che gli appartengono in base alla proprietà o su altra base giuridica;

c) disponibilità, su qualsiasi base giuridica, di apparecchiature di produzione, collaudo e controllo e misurazione che siano state sottoposte a verifica metrologica (calibrazione), marcatura e certificazione secondo la legislazione della Federazione Russa;

d) utilizzo di sistemi automatizzati che trattano informazioni riservate, nonché mezzi per proteggere tali informazioni che hanno superato la procedura di valutazione della conformità (certificata e (o) certificata in conformità con i requisiti di sicurezza delle informazioni) in conformità con la legislazione della Federazione Russa;

e) utilizzo di programmi per elaboratori elettronici e banche dati destinati allo svolgimento delle attività oggetto di licenza sulla base di un accordo con l'avente diritto;

f) la disponibilità di atti normativi, documenti normativi e metodologici e metodologici sulla protezione tecnica delle informazioni in conformità con l'elenco stabilito dal FSTEC della Russia.

Come si vede, per soddisfare i requisiti di cui sopra, un'organizzazione deve avere almeno 2 specialisti, i quali, in alcuni casi (in assenza di istruzione superiore specializzata), richiederanno la loro formazione in corsi di aggiornamento in curricula concordato con il FSTEC della Russia per un importo di almeno 72 ore. Inoltre, saranno richiesti documenti normativi, tra cui accesso limitato, nonché la presenza su qualsiasi base giuridica (di proprietà o in locazione per un periodo non inferiore al periodo di validità della licenza) di apparecchiature di produzione, collaudo e controllo e misura che siano state sottoposte a verifica metrologica (calibrazione), marcatura e certificazione in conformità al legislazione della Federazione Russa. Oltre a quanto sopra, sarà necessario progettare, realizzare e certificare oggetti di informatizzazione (un sistema automatizzato e una stanza sicura) destinati al trattamento di informazioni riservate. In questo caso si pone il problema dell'acquisizione, su qualsiasi base giuridica, di apparecchiature di controllo e misurazione di cui il licenziatario non ha bisogno per fornire i servizi TZKI. Inoltre, la maggior parte di questi requisiti è piuttosto costosa in termini economici, principalmente per le organizzazioni di bilancio nel campo dell'istruzione, dei servizi medici, dell'alloggio e dei servizi comunali.

L'esecuzione della funzione statale di autorizzare le attività di TZKI in conformità con le clausole 12-14 del Regolamento include le seguenti procedure amministrative (Fig. 1):

informazione e consulenza sulla procedura per lo svolgimento delle funzioni statali;
esame di una domanda di licenza;
verifica della possibilità per il richiedente la licenza di soddisfare i requisiti e le condizioni della licenza;
prendere una decisione sulla concessione di una licenza;
rilascio di un documento attestante l'esistenza di una licenza;
rilascio di un duplicato e copie di un documento attestante l'esistenza di una licenza;
rinnovo del periodo di validità della licenza;
riemissione di un documento attestante l'esistenza di una licenza;
controllo sul rispetto da parte del licenziatario dei requisiti e delle condizioni di licenza;
sospensione, rinnovo della patente e revoca della patente;
mantenere un registro delle licenze;
fornitura di informazioni dal registro delle licenze.

Un funzionario di FSTEC della Russia prende una decisione sulla concessione o sul rifiuto di concedere una licenza entro un periodo non superiore a 45 giorni dalla data di ricezione della domanda di licenza e dei documenti ad essa allegati (clausola 14.1 del Regolamento).

I motivi per il rifiuto di concedere una licenza sono (clausola 14.3 del Regolamento):

presenza nei documenti presentati dal richiedente la licenza di informazioni inesatte o distorte;

non conformità del richiedente la licenza, degli oggetti che gli appartengono o degli oggetti da lui utilizzati con i requisiti e le condizioni della licenza.

Una licenza per svolgere attività di protezione tecnica delle informazioni riservate è concessa per un periodo di 5 anni (clausola 14.4 del Regolamento). Allo stesso tempo, dal 30 gennaio 2011, l'entità delle tasse statali è stata modificata: per la concessione di una licenza - 2600 rubli e per l'estensione della validità di una licenza - 200 rubli.

Come si può vedere dallo schema e dalle procedure (Fig. 1), l'ufficio centrale del FSTEC della Russia è coinvolto nella concessione della licenza del TZKI con il coinvolgimento dei dipartimenti del FSTEC della Russia per distretti federali in contrasto con le procedure di autorizzazione dell'FSB della Russia, dove i dipartimenti territoriali dell'FSB della Russia sono impegnati nella concessione di licenze nella loro area di responsabilità. La durata del processo di licenza TZKI nel tempo può richiedere da due a sei mesi e comportare costi finanziari significativi, soprattutto nel caso dell'acquisizione di apparecchiature di controllo e misurazione.

È possibile sottrarsi alla necessità di concedere in licenza le attività di organizzazioni e imprese per TZKI? Le raccomandazioni del FSTEC della Russia si riducono alla necessità di concludere un accordo con un'organizzazione autorizzata per TZKI, mentre l'operatore ha tale licenza requisito obbligatorio non è.

Le raccomandazioni del FSTEC della Russia per concludere accordi con i licenziatari, di cui ce ne sono meno di 2000 nel registro, non consentono di risolvere il problema della protezione delle informazioni riservate. Secondo le stime degli esperti, in Russia ci sono solo 5-7 milioni di operatori di dati personali, senza contare gli operatori che elaborano altri tipi di informazioni riservate soggette a protezione in conformità con la legge federale. Inoltre, un accordo con un licenziatario viene solitamente concluso solo per una certa quantità di lavoro e servizi, di regola, solo per la creazione di un sistema per proteggere le informazioni riservate.

Quali sono i rischi affrontati dalla maggior parte delle organizzazioni che non hanno e non intendono ottenere licenze per il TZKI o ricevere i servizi di organizzazioni in possesso di tale licenza, se rimangono invariate? ordine pubblico e la posizione di FSTEC della Russia? Ogni organizzazione deve decidere autonomamente se è necessario ottenere tale licenza. Non ci sono sanzioni amministrative per l'esecuzione di lavori senza una licenza per le attività TZKI da parte dell'FSTEC della Russia, e nella situazione attuale è improbabile che queste sanzioni compaiano, poiché nelle condizioni di imperfezione della nostra legislazione sulla protezione delle informazioni riservate , i tribunali interpretano le norme delle leggi federali in modi diversi e responsabili del loro fallimento ... Di conseguenza, la gravità della Delibera è compensata dalla natura non vincolante della sua attuazione. Ad esempio, l'articolo 14.1 del Codice amministrativo della Federazione Russa prevede la responsabilità per "Svolgimento di attività imprenditoriali senza registrazione statale o senza permesso speciale (licenza)". Secondo l'articolo 2 del codice civile della Federazione Russa, "un'attività imprenditoriale è un'attività indipendente svolta a proprio rischio, volta a trarre sistematicamente un profitto dall'uso della proprietà, dalla vendita di beni, dall'esecuzione di lavori o la prestazione di servizi da parte di soggetti iscritti in tale veste secondo le modalità previste dalla legge”. Questo da solo suggerisce che l'articolo 14.1 può essere applicato solo a coloro che forniscono servizi e guadagnano denaro garantendo la sicurezza delle informazioni, vale a dire. licenziatari di FSTEC e FSB della Russia. Questo articolo non ha nulla a che fare con la stragrande maggioranza delle organizzazioni che trattano informazioni riservate (informazioni ad accesso limitato che non costituiscono un segreto di stato). Secondo molti specialisti della protezione delle informazioni, per la maggior parte delle organizzazioni non governative non legate alla protezione dei segreti di Stato, solo forme di gestione della protezione delle informazioni riservate sono realmente possibili attraverso l'uso raccomandato di atti normativi, linee guida e documenti metodologici delle autorità di regolamentazione , documenti organizzativi e amministrativi delle organizzazioni, l'uso di sistemi sviluppati e testati nell'interesse delle autorità pubbliche e delle loro imprese subordinate di sistemi e sicurezza delle informazioni. In questo caso, la base per il funzionamento dei sistemi di protezione delle informazioni riservate è la scelta personale del titolare delle informazioni del grado dei suoi meccanismi di sicurezza e protezione. Allo stesso tempo, secondo l'esperienza dei paesi con una legislazione sviluppata nel campo della sicurezza delle informazioni, i fattori determinanti sono il rischio dei partecipanti alle relazioni informative e la loro responsabilità personale per le misure adottate per proteggere le informazioni riservate. In Russia, questo approccio, ad esempio, è stato implementato quando gli standard della Banca di Russia sono stati introdotti nell'organizzazione RF BS, quando i requisiti per l'ottenimento delle licenze per la protezione tecnica delle informazioni riservate e i requisiti per la certificazione dei sistemi di informazione dei dati personali non sono obbligatorio (ai sensi della clausola 9. 6 STO BR IBBS-1.0-2010).

Alexander Katarzhnov

Ph.D., Professore Associato, NOU DO Centro di addestramento"EUREKA"

Rapida crescita dell'informatizzazione e aumento dei volumi informazioni digitali sono costretti ad aumentare il livello di sicurezza. Ciò ha provocato sviluppo attivo diversi modi protezione dei dati, nonché società che offrono servizi di privacy. Inoltre, tale tipo di attività è consentito solo numero limitato aziende.

Obbligo di ottenere il permesso

La protezione delle informazioni personali e aziendali è un'attività delicata e importante. È inaccettabile fornire tali servizi senza autorizzazione. I seguenti tipi di misure sono necessarie per proteggere le informazioni:

Sviluppo, produzione e distribuzione di strumenti di crittografia
Lavorare sulla protezione tecnica delle informazioni riservate
rilevamento mezzi elettronici utilizzato per ottenere segretamente dati
Produzione e sviluppo di SZKI (mezzi di protezione delle informazioni riservate)
Manutenzione mezzi crittografici protezione dei sistemi di informazione, telecomunicazione e informazione.

Un'eccezione a questo è lo sviluppo di strumenti di crittografia per uso personale o. Inoltre, non è richiesta alcuna licenza per la manutenzione delle informazioni e di altri sistemi utilizzati per le informazioni interne di una determinata azienda.

Perché abbiamo bisogno di una licenza per la protezione tecnica (e di altro tipo) delle informazioni riservate, lo spiegheremo di seguito.

Licenza per la protezione tecnica delle informazioni riservate

I compiti principali della licenza

Dovrebbe essere chiaro che il livello di riservatezza delle informazioni può essere diverso.

Per alcune aziende, la perdita di dati può solo portare disagi morali, mentre altre perderanno la capacità di funzionare di conseguenza.
Inoltre, non dimenticare i segreti commerciali della produzione di vari beni. Se vengono resi pubblici, è probabile sviluppo diverso eventi.

L'obiettivo principale delle licenze è quello di frenare le attività incompetenti. I richiedenti la licenza devono soddisfare una serie di criteri per garantire servizi di protezione dei dati di qualità e un'equa manutenzione.

Questo video ti parlerà delle tecnologie di sicurezza delle informazioni:

Documenti normativi

Il rilascio delle licenze è disciplinato da una serie di regolamenti, leggi e regolamenti. Uno dei documenti principali è la legge federale n. 99 del 4 maggio 2011 "Sulla licenza di determinati tipi di attività". Inoltre, le seguenti Risoluzioni del Governo della Federazione Russa sono applicabili alle attività di protezione delle informazioni:

n. 45 del 26 gennaio 2006
n. 532 del 31 agosto 2006
n. 691 del 23 settembre 2002.

Vale anche la pena familiarizzare con il decreto del governo della Federazione Russa n. 1418 del 24.12.1994. Tutti questi documenti forniscono una considerazione dettagliata della procedura per ottenere un permesso e indicano le condizioni per il suo rilascio insieme a un elenco di documenti richiesti.

La procedura per ottenere una licenza dall'FSTEC della Russia per la protezione tecnica delle informazioni riservate, scrivendo una dichiarazione su questo argomento - tutto questo è descritto di seguito.

Ottenere una licenza per svolgere attività per la protezione delle informazioni

Le attività di protezione delle informazioni richiedono il rispetto di un ampio elenco di condizioni e una preparazione sistematica. Dopo aver presentato la domanda del richiedente la licenza, attenderà sicuramente un esame peritale, composto da dipendenti di FSB e FSTEK. Composizione specifica la commissione di esperti dipende dal tipo di attività prescelto.

Domanda e luogo di presentazione dei documenti

Una domanda per una licenza che consente di svolgere attività di protezione delle informazioni è compilata nella forma prescritta dalla legge. Un'applicazione di esempio è fornita dalle autorità preposte al rilascio delle licenze. Il rilascio delle licenze stesse per le attività di protezione delle informazioni viene effettuato da due organizzazioni:

Servizio di sicurezza federale (FSB).
Servizio federale per il controllo tecnico e delle esportazioni (FSTEC).

La maggior parte delle domande viene presentata all'FSB, che fornisce la maggior parte delle attività. FSTEC è responsabile del controllo sulla produzione e sullo sviluppo di mezzi specializzati per proteggere le informazioni riservate.

Le condizioni richieste per la licenza (ottenimento di una licenza) per la protezione tecnica delle informazioni riservate sono descritte di seguito.

Condizioni

La principale difficoltà nell'ottenere una licenza sono i termini della sovvenzione. L'elenco è piuttosto ampio e, in assenza di qualsiasi elemento, il richiedente è privato del diritto di rilasciare un permesso. Inoltre, le condizioni per tipi diversi le attività differiscono, sebbene vi sia un elenco generale.

Devono essere soddisfatte le seguenti condizioni:

Avere almeno 2 dipendenti con un'istruzione adeguata o corsi di riqualificazione completati
Locali di proprietà o in locazione con conformità tecnica obbligatoria al tipo di attività dichiarato
Formare una base materiale e tecnica da strumentazione, test e altro tipo di attrezzatura necessaria, a seconda del tipo di attività
Confermare che il software richiesto è di proprietà o altrimenti disponibile legalmente
Disponibilità sistema specializzato controllo in base al tipo di attività selezionato e al suo comma specifico
Possedere documentazione tecnica legalmente, sviluppi metodologici, nonché altri dati cartacei e digitali necessari per lo svolgimento dell'attività.

Inoltre, per alcuni tipi di attività, potrebbero essere necessarie alcune strutture di elaborazione delle informazioni certificate per le precauzioni di sicurezza.

Un altro requisito per tutti i tipi di attività, ad eccezione della produzione e dello sviluppo di SZKI, è la presenza nel posto di un manager che abbia istruzione superiore nella specialità" Informazioni di sicurezza»Oppure ha completato un corso di riqualificazione di oltre 500 ore in aula.

Documenti richiesti

Insieme alle condizioni indicate, è necessario fornire il seguente pacchetto di documenti:

Contratti di lavoro, certificati e diplomi dei dipendenti
Domanda e documenti giustificativi per il pagamento del dovere statale
Documenti attestanti l'esistenza giuridica di sistemi di controllo
Documenti di titolo per i locali e il software
Dati sulla disponibilità di documentazione tecnica e altra documentazione necessaria
Documenti che confermano la disponibilità del materiale e della base tecnica richiesti
Certificati di conformità per strutture di elaborazione delle informazioni e/o locali protetti.

Tutti i dati sono forniti insieme a documenti costitutivi richiedente. Il numero dei moduli cartacei varia molto a seconda del tipo di attività scelta, della presenza di più locali, dei programmi e documentazione tecnica... Ecco perché, quando si raccoglie un pacchetto di documenti, è necessario chiarire la presenza di nuovi atti normativi in materia di licenza delle attività di protezione delle informazioni.

Di seguito sono descritte le fasi delle attività di autorizzazione per l'organizzazione della sicurezza delle informazioni.

Fasi

La procedura di autorizzazione richiede un gran numero di volta. Legalmente, i termini per l'emissione di questo documento sono limitati a 45 giorni. Uno di passi importantiè la fase preliminare per ottenere un permesso, la possibilità stessa di concedere il diritto alle attività di protezione delle informazioni dipende dalla qualità della sua attuazione.

Fasi preparatorie della licenza:

Studio del quadro normativo
Rivelare il rispetto delle condizioni dichiarate
Raccolta di un pacchetto di documenti e stesura di una domanda
Rianalisi delle condizioni e dei documenti forniti.

Con un periodo di licenza preparatoria adeguatamente condotto, la probabilità di ottenere una licenza è molto alta. Spesso il motivo del rifiuto sono proprio errori nei documenti presentati o il mancato rispetto delle condizioni necessarie.

A seguito di fase preliminareè necessario presentare i documenti all'autorità di rilascio delle licenze necessaria, selezionata in base al tipo di attività (FSB o FSTEC). Il prossimo punto sarà l'esame dei documenti da parte della commissione di esperti. Se corrispondono, viene organizzato un controllo capacità tecniche e le condizioni per fare affari. Fasi finaliè il rilascio di un modulo di licenza ufficiale.

Informazioni utili

Particolare attenzione dovrebbe essere prestata al fatto che tutti gli attuali licenziatari sono soggetti a ispezioni di routine da parte dell'FSB. Inoltre, questo tipo di attività è caratterizzato da controlli spontanei senza preavviso. Sono condotti legalmente per raggiungere massima qualità servizi forniti per la conservazione delle informazioni.
Per questo motivo la durata della licenza è fissata ad un minimo di 5 anni e la procedura di rinnovo del permesso è semplificata. È necessario riemettere il documento che conferma il permesso. A richiesta del licenziatario, gli viene rilasciato un nuovo modulo con un periodo di validità esteso. Ciò è possibile solo in assenza di violazioni gravi - se del caso, la licenza viene revocata.

Ottenere il permesso di svolgere attività di protezione dei dati non è di per sé particolarmente difficile. È molto più difficile raccogliere il pacchetto di documenti necessario e rispettare correttamente tutte le condizioni richieste. Quando si richiede una licenza, è molto importante prestare attenzione a fase preparatoria e con la sua implementazione di alta qualità, non sarà difficile ottenere un permesso.

Di più informazioni utili la protezione delle informazioni e la licenza di tali attività sono contenute in questo video:

Licenza per la sicurezza delle informazioni. Come ottenere una licenza fstack? Requisiti per ottenere una licenza fstack

4.3. Monitoraggio della conformità ai requisiti e alle condizioni di licenza

Inviare il tuo buon lavoro nella knowledge base è semplice. Usa il modulo sottostante

Bibliografia

1 . V. Kiyaev, O. Granichin // Sicurezza dei sistemi informativi // Università Nazionale Aperta "INTUIT" * 2016 anno // pp. 105-106

2. Snytikov A.A. Licenze e certificazioni nel campo della sicurezza delle informazioni.-M: Helios ARV, 2012 // pp. 223-224

3. Sistema di certificazione dei mezzi di protezione crittografica delle informazioni: N. ROSS RU.0001.030001 del 15 novembre 2012.

4.Bumazhkov A. Kirina A. Licenze e certificazioni nel campo della sicurezza delle informazioni

5. Termini e definizioni nel campo della sicurezza delle informazioni, Mosca, 2011

Pubblicato su Allbest.ru

Documenti simili

Obbligo di ottenere il permesso

I compiti principali della licenza

Documenti normativi

Ottenere una licenza per svolgere attività per la protezione delle informazioni

Domanda e luogo di presentazione dei documenti

Condizioni

Documenti richiesti

Fasi

Informazioni utili

Principali articoli correlati