Licențiere pentru securitatea informațiilor. Cum să obțineți o licență fstack? Cerințe pentru obținerea unei licențe fstack

04.04.2019 Televizoare (Smart TV)

Licențierea în domeniul protecției informațiilor este o activitate care presupune transferul sau primirea de drepturi de a desfășura activități în domeniul protecției informațiilor. Politica statului în domeniul licențierii anumitor tipuri de activități și al asigurării protecției intereselor vitale ale individului, societății și statului este determinată prin HG. Federația Rusă din 24 decembrie 1994 Nr. 1418 „Cu privire la licențierea anumitor tipuri de activități” (modificat prin Hotărârile Guvernului RF din 05.05.95 nr. 450, din 03.06.95 nr. 549, din 07.08.95 nr. 7126.1 din 03.06.95 nr. .95 Nr. 1001, din 22.04.97 Nr. 462, din 01.12.97 Nr. 1513, vezi si rezolutia din 11.02.02 Nr. 135).

Licența este o autorizație pentru dreptul de a desfășura activități în domeniul protecției informațiilor. O licență se eliberează pentru anumite tipuri de activitate timp de trei ani, după care se reînregistrează în conformitate cu procedura stabilită pentru eliberarea licenței.

Licența se eliberează dacă societatea care a solicitat o licență are condițiile de acordare a licenței: instalații de producție și testare, documentație normativă și metodologică și are personal științific și ingineresc.

Structura organizatorică a sistemului de autorizare de stat a întreprinderilor în domeniul protecției informațiilor este formată din:

· Organisme de stat pentru licențiere;

· Centre de licențiere;

· Întreprinderi-solicitanţi.

Autoritățile de stat de licențiere:

· Organizarea licentei obligatorii de stat a intreprinderilor;

· Eliberează licențe de stat întreprinderilor solicitante;

· A conveni asupra componenței comisiilor de experți reprezentate de centrele de licențiere;

· Exercitarea controlului și supravegherii asupra completității și calității lucrărilor desfășurate de titularii de licență în domeniul protecției informațiilor.

Centre de licență:

· Formarea comisiilor de experți și transmiterea componenței acestora spre aprobare conducătorilor organismelor de licențiere de stat relevante, care sunt FSTEC și FSB;

· Planifică și efectuează lucrări de examinare a întreprinderilor solicitante;

· Controlează completitatea și calitatea lucrărilor efectuate de licențiați.

Centrele de licențiere din cadrul organismelor de licențiere de stat sunt create prin ordine ale conducătorilor acestor organisme. Comisiile de experți sunt formate din rândul specialiștilor din industrii, organe guvernamentale, alte organizații și instituții competente în domeniul relevant al protecției informațiilor. Comisiile de experți sunt create în unul sau mai multe domenii de protecție a informațiilor.

Licențiere FSTEC din Rusia sub rezerva:

Certificare, testare de certificare a mijloacelor tehnice sigure de prelucrare a informațiilor (TIC), tehnice și instrumente software protecție, instrumente de control pentru eficacitatea măsurilor de protecție a informațiilor, procesare software, protecție și control al securității;

· Certificarea sistemelor de informatizare, a sistemelor automate de control, a sistemelor de comunicații și transmitere a datelor, a echipamentelor militare și a spațiilor dedicate pentru conformitatea cu cerințele documentelor de îndrumare și reglementare privind securitatea informațiilor;

· Dezvoltarea, producerea, vânzarea, instalarea, punerea în funcțiune, instalarea, repararea, service-ul de întreținere a obiectelor informatice protejate, mijloace tehnice de protecție și control al eficacității măsurilor de protecție a informațiilor, instrumente software protejate pentru prelucrarea, protecția și controlul securității informațiilor;

· Efectuarea de studii speciale pentru radiații și interferențe electromagnetice laterale (PEMIN) TCOI;

· Proiectarea obiectelor într-un design protejat.

Autoritatea de acordare a licențelor este responsabilă pentru:

· Elaborarea de reguli, proceduri și documente normative și metodologice privind problemele de licențiere;

· Implementarea managementului științific și metodologic al activităților de licențiere;

· Publicare informatie necesara despre sistemul de licențiere;

· Luarea în considerare a cererilor organizațiilor și unităților militare pentru eliberarea licențelor;

· Coordonarea declarațiilor cu unitățile militare responsabile de domeniile relevante de protecție a informațiilor;

· Coordonarea componenței comisiilor de experți;

· Organizarea si desfasurarea examenelor speciale;

· Luarea unei decizii privind eliberarea licenței;

· Eliberarea licentelor;

· Luarea unei decizii privind suspendarea, reînnoirea licenței sau anularea acesteia;

· Ținerea unui registru al licențelor eliberate, suspendate, reînnoite și anulate;

· Achizitionarea, contabilizarea si stocarea formularelor de licenta;

· Organizarea muncii centrelor de certificare;

· Controlul asupra completității și calității lucrărilor efectuate de licențiați.

În conformitate cu articolul 17 din Legea federală din 08.08.2001 nr. 128-FZ „Cu privire la autorizarea anumitor tipuri de activități” (modificată prin Legea federală din 02.07.2005 nr. 80-FZ), următoarele tipuri de activități (în domeniul protecției informațiilor) sunt supuse licenței:

· Activități de distribuire a mijloacelor de criptare (criptografice);

· Activități pentru întreținere mijloace de criptare (criptografice);

· Furnizare de servicii in domeniul criptarii informatiilor;

· Dezvoltarea, producerea mijloacelor de criptare (criptografice), protejate prin mijloace de criptare (criptografice) a sistemelor informatice, a sistemelor de telecomunicatii;

· Activități de dezvoltare și (sau) producere a mijloacelor de protecție a informațiilor confidențiale; activitati de protectie tehnica informații confidențiale;

· Activități de identificare a dispozitivelor electronice menite să obțină în secret informații în incinte și mijloace tehnice (cu excepția cazului în care activitatea specificată este desfășurată pentru a răspunde nevoilor proprii ale unei persoane juridice sau ale unui antreprenor individual).

În cadrul activităților luate în considerare, au fost emise decrete separate ale Guvernului Federației Ruse, care clarifică procedura de licențiere. Printre ei:

· Decretul Guvernului Federației Ruse din 26 ianuarie 2006 nr. 45 „Cu privire la organizarea acordării de licențe pentru anumite tipuri de activități”; Decretul Guvernului Federației Ruse din 15 august 2006 nr. 504 „Cu privire la activitățile de licențiere pentru protectie tehnica informații confidențiale ";

· Decretul Guvernului Federației Ruse din 31 august 2006 nr. 532 „Cu privire la activitățile de licențiere pentru dezvoltarea și (sau) producerea de mijloace de protecție a informațiilor confidențiale”;

· Decretul Guvernului Federației Ruse din 23.09.2002 nr. 691 „Cu privire la aprobarea reglementărilor privind licențierea anumitor tipuri de activități legate de mijloacele de criptare (criptografice)”.

În conformitate cu aceste documente, licențiații sunt obligați să transmită anual autorității de acordare a licențelor sau centrului de certificare informații cu privire la numărul de lucrări efectuate pentru anumite tipuri de activități specificate în licență. Licențiații sunt responsabili de integralitatea și calitatea lucrărilor efectuate, asigurând siguranța secrete de statîncredinţate acestora în cadrul activităţilor practice.

Pentru funcționarea normală a sistemelor de management electronic a documentelor (EDM), este necesară elaborarea unor proceduri de soluționare a eventualelor conflicte. O parte la astfel de conflicte, pe lângă participanții la EDF și compania furnizor, poate fi și compania de dezvoltare de software.

Se presupune că contractul cu compania dezvoltatoare ține cont de disponibilitatea unui eșantion de referință de software, care poate fi păstrat doar de către firma furnizor sau de către toți participanții la EDF. Acest lucru necesită îndeplinirea a două condiții de bază:

trebuie documentat că fiecare participant la sistemul EDM (inclusiv compania furnizor) are instalat software care corespunde eșantionului de referință;

stocarea mostrelor de referință este organizată astfel încât să excludă posibilitatea modificării mostrei de referință de software fără știrea părților.

Un astfel de regim poate fi asigurat de un sistem de mai multe chei publice.

Astăzi, când tehnologiile informaționale moderne sunt introduse intens în toate sferele vieții și activităților societății, naționale și, ca parte a acesteia, securitatea economică a statului începe să depindă direct de asigurarea securității informației. De aceea, pentru a crea garanții care să asigure stabilitatea necesară a mijloacelor de protecție a informațiilor, statul își asumă responsabilitatea pentru autorizarea activităților organizațiilor implicate în protecția informațiilor și certificarea mijloacelor tehnice corespunzătoare.

Nivelul actual de protecție împotriva amenințărilor externe la nivel global rețele deschise nu poate fi considerat satisfăcător: nu există încă o strategie cuprinzătoare și solidă din punct de vedere tehnic în acest domeniu în Rusia. Pentru a schimba situația, ar trebui elaborat și implementat urgent un set de măsuri în domeniul legislației și standardizării mijloacelor de asigurare a securității informațiilor în Rusia. Sarcinile prioritare în această direcție includ:

· Adoptarea unei legi speciale, asemănătoare cu „Computer Security Act” din Statele Unite, prin care agențiile guvernamentale specifice sunt responsabile pentru sprijinirea metodologică a muncii în domeniul securității informațiilor;

· Dezvoltarea unor abordări unificate pentru asigurarea securității pentru organizații de diferite profiluri, dimensiuni și forme de proprietate;

· Asigurarea apariției pe piață a unui număr suficient de diverse instrumente certificate pentru rezolvarea problemelor de securitate a informațiilor.

Una dintre problemele în domeniul protecției informațiilor în Rusia este lipsa documentelor oficiale cu recomandări detaliate privind construcția de sisteme informaționale securizate, similare celor dezvoltate, de exemplu, de Institutul American de Tehnologii Standard (SUA) și standardul britanic. Deși nu există reglementări în Marea Britanie care să impună conformitatea standardele de stat, aproximativ 60% dintre firmele și organizațiile britanice folosesc în mod voluntar standardul dezvoltat, iar restul intenționează să implementeze recomandările acestuia în viitorul apropiat.

Licențele și certificarea securității informațiilor pot atenua această problemă. Este necesar să se creeze garanții pentru utilizator pe care instrumentele de securitate a informațiilor utilizate de acesta sunt capabile să le ofere nivelul cerut protecţie. Licențiarea este cea care poate ajuta la asigurarea faptului că doar specialiștii cu înaltă calificare în acest domeniu se vor ocupa de problema protecției informațiilor, iar produsele pe care le creează vor fi la nivelul corespunzător și vor putea trece certificarea.

Fără certificare, este imposibil să se evalueze dacă un anumit instrument conține caracteristici nedocumentate potențial dăunătoare, a căror prezență este caracteristică în special pentru majoritatea produselor străine, care pot duce la un moment dat la defecțiuni ale sistemului și chiar la consecințe ireversibile pentru acesta. Un exemplu tipic de așa ceva oportunități nedocumentate este angajat de Ericsson în dezvoltarea de centrale telefonice, pe baza căreia Ministerul Căilor Ferate al Federației Ruse își construiește rețeaua telefonică, capacitatea de a-și bloca activitatea atunci când primește un apel de la un anumit numar de telefon, pe care firma refuză să o numească. Și acest exemplu nu este singurul.

Procesul de certificare a unui produs software durează aproximativ în același timp cu dezvoltarea sa și este practic imposibil fără codurile sursă ale programelor cu comentarii. În același timp, multe firme străine nu doresc să reprezinte textele sursă a produselor lor software către centrele de certificare din Rusia. De exemplu, în ciuda acordului de principiu Microsoft pentru certificarea în Rusia a sistemului de operare Windows NT, care a identificat deja mai mult de 50 de erori legate de securitate, această problemă nu a putut declanșa de multe luni din cauza lipsei codului sursă.

Dificultățile cu certificarea duc la faptul că cei mai simpli primesc certificatul mai repede decât alții dintre produsele din aceeași clasă, ceea ce le face să pară mai fiabile pentru utilizator. Perioadele lungi de certificare duc la faptul că compania de dezvoltare are timp să aducă pe piață o nouă versiune a produsului său, iar procesul devine nesfârșit.

Certificarea mijloacelor tehnice de protecție a informațiilor este dificil de realizat fără standarde adecvate, a căror creare în Rusia este îngreunată nu în ultimul rând de lipsa resurselor financiare. Această problemă este rezolvată dacă există mai multe firme interesate de marketing și mai multe organizații interesate să utilizeze mijloacele tehnice adecvate. De exemplu, rodul eforturilor comune ale unor astfel de organizații, firme și FSTEC (fostă Comisia Tehnică de Stat (STC)) a fost dezvoltarea Ghidurilor tehnice ale Comitetului Vamal de Stat al Federației Ruse „Facilități de calculatoare. Firewall-uri. Protecție împotriva accesului neautorizat la informatii.Indicatori de protectie impotriva accesului neautorizat la informatii”. El a făcut posibilă clasificarea instrumentelor care sunt capabile într-o oarecare măsură să protejeze rețelele corporative de intruziunile externe.

Documentul presupune existența mai multor clase de firewall-uri: de la cele mai simple, care permit doar controlul asupra fluxului de informații, până la cele mai complexe, realizând transcodarea completă a informațiilor primite, protejând complet rețeaua corporativă de influențele externe. Deja astăzi, certificare pentru conformitate specificatii tehnice elaborat în conformitate cu Ghidurile material tehnic ceea ce este permis legislatia actuala, a trecut astfel firewall-uri precum Sun Screen, SKIPbridge și Pandora. Cu toate acestea, chiar și cu certificarea lor, a existat o luptă.

Luând în considerare cerințele securității informațiilor și practica mondială în domeniul protecției informațiilor, pare oportun ca Rusia să se alăture sistemelor consacrate de standardizare internațională și certificare a tehnologiilor informaționale, ceea ce înseamnă, în practică:

· Alinierea standardelor naționale și industriale cu cele internaționale;

· Participarea reprezentanților ruși la sistemele internaționale de certificare (inclusiv teste de certificare);

· Posibilitatea recunoașterii certificatelor internaționale în Rusia.

În plus, în conformitate cu legislația în vigoare, orice organizație care colectează și prelucrează date cu caracter personal (de exemplu, tranzacții cu carduri de plastic) trebuie să fie autorizată să se angajeze în astfel de activități și să utilizeze mijloace certificate pentru aceasta.

FSTEC din Rusia (fostă Comisia Tehnică de Stat) a dezvoltat cadrul de reglementare necesar pentru protejarea informațiilor împotriva accesului neautorizat. Să luăm în considerare structura principalelor documente directoare.

1. « Protecție împotriva accesului neautorizat la informații. Termeni și definiții"- stabilește un standard terminologic unificat în domeniul protecției fondurilor tehnologie de calculși sisteme automate de acces neautorizat la informații, care este obligatoriu pentru utilizare în toate tipurile de documentație.

2. « Conceptul de protecție a echipamentelor informatice și a sistemelor automate de accesul neautorizat la informații "- descrie principiile de bază pe care se bazează problema protecției informațiilor împotriva accesului neautorizat și relația acesteia cu Problemă comună securitatea informatiei. Conceptul reflectă următoarele aspecte: definiția accesului neautorizat, principiile de bază ale protecției, modelul intrusului în sistemele automatizate, principalele metode de acces neautorizat, principalele direcții de asigurare a protecției, principalele caracteristici ale mijloacelor tehnice de protecție. , clasificarea sistemelor automatizate, organizarea muncii de protectie. Acest concept este destinat clienților, dezvoltatorilor și utilizatorilor tehnologiei informatice și sistemelor automatizate, al căror scop principal este: prelucrarea, stocarea și transmiterea informațiilor protejate.

3. „Mijloace de protecție a informațiilor. Protecția informațiilor în casele de marcat și sistemele de case de marcat automatizate. Clasificarea caselor de marcat, a sistemelor automate de numerar și a cerințelor de securitate a informațiilor "- stabilește clasificarea caselor de marcat, a sistemelor automatizate de casă, a tehnologiei informației și a cerințelor de protecție a informațiilor legate de fiscalitate. În conformitate cu acest document, sunt stabilite 2 clase de case de marcat, sisteme automate de numerar și tehnologia informației. Prima clasă include sisteme care procesează informații cu privire la cifra de afaceri în numerar în valoare de până la 350 de salarii minime pe zi, iar a doua - în valoare de peste 350 de salarii minime.

4. „Facilitati informatice. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații”- reglementează cerințele pentru securitatea echipamentelor de calcul împotriva accesului neautorizat, aplicate software-ului la nivel de sistem și sisteme de operare... Există șapte clase de securitate, care sunt subîmpărțite în patru grupuri. Fiecare clasă conține o listă de mecanisme pentru protejarea informațiilor împotriva accesului neautorizat necesar pentru implementare.

5. „Sisteme automatizate. Protecție împotriva accesului neautorizat la informații. Clasificarea sistemelor automate și cerințele pentru protecția informațiilor "- clasifică sistemele automatizate în funcție de disponibilitatea informațiilor de diferite niveluri de confidențialitate, niveluri de autoritate ale subiecților de acces, moduri de prelucrare a datelor în nouă clase și prevede un set de cerințe pentru fiecare dintre acestea. În funcție de particularitățile procesării informațiilor în sistemele automate, clasele sunt împărțite în trei grupe.

6. „Facilități informatice. Firewall-uri. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații”- declară cerințe pentru diferite clase de firewall-uri. În total, există cinci clase de securitate firewall. Clasificarea se face in functie de clasa de securitate a sistemelor automatizate, care este protejata de firewall.

Pe baza liniilor directoare și a cadrului de reglementare al FSTEC din Rusia, se realizează dezvoltarea, certificarea și utilizarea mijloacelor de protecție a informațiilor împotriva accesului neautorizat, precum și acordarea de licențe a întreprinderilor pentru dreptul de a opera în domeniul protecției informațiilor pe teritoriul Federației Ruse.

FSTEC din Rusia realizează acordarea de licențe pentru protecția tehnică a informațiilor confidențiale. Pentru a obține o licență, solicitantul trebuie să îndeplinească următoarele cerințe și condiții:

prezenţa în personalul specialiştilor cu superioare educatie profesionalaîn domeniul protecției tehnice a informațiilor sau al învățământului profesional (tehnic) superior sau secundar și celor care au urmat cursuri de recalificare sau pregătire avansată în domeniul protecției tehnice a informațiilor;
solicitantul de licență are spații pentru desfășurarea activităților licențiate care îndeplinesc standardele tehnice și cerințele pentru protecția tehnică a informațiilor stabilite prin actele juridice de reglementare ale Federației Ruse și care îi aparțin prin drept de proprietate sau în alt mod Bază legală;
disponibilitatea, pe orice bază legală, a echipamentelor de producție, testare și control și măsurare care au suferit verificări metrologice (calibrare), marcare și certificare în conformitate cu legislația Federației Ruse;
utilizarea sistemelor automate care prelucrează informații confidențiale, precum și a mijloacelor de protecție a acestor informații care au trecut procedura de evaluare a conformității (certificate și (sau) certificate de către cerințe de siguranță informații) în conformitate cu legislația Federației Ruse;
utilizarea de programe pentru calculatoare electronice și baze de date destinate implementării activităților licențiate pe baza unui acord cu deținătorul drepturilor de autor;
disponibilitatea actelor juridice de reglementare, a documentelor de reglementare și metodologice și metodologice privind protecția tehnică a informațiilor în conformitate cu lista stabilită de Serviciul Federal de Control Tehnic și Export

Pentru a obține o licență, solicitantul trimite la FSTEC documentele discutate în secțiunea anterioară a acestei prelegeri. Pe lângă aceste documente, solicitantul trebuie să furnizeze următoarele:

copii ale documentelor care confirmă calificarea specialiștilor în securitatea informațiilor (diplome, certificate, certificate);
copii ale documentelor care confirmă dreptul de proprietate, dreptul de gestiune economică sau de conducere operațională asupra spațiilor destinate desfășurării activităților licențiate, sau copii ale contractelor de închiriere a acestor spații sau folosirea gratuită a acestora;
copii ale certificatelor de conformitate a spațiilor protejate cerințe de siguranță informație;
copii pașaport tehnic sistem automatizat cu aplicatii, actul de clasificare a sistemului automatizat conform cerințe de siguranță informatii, plan de amenajare a mijloacelor si sistemelor tehnice principale si auxiliare, certificat de conformitate a sistemului automatizat cerințe de siguranță informații sau certificat de conformitate sistem automatizat cerințe de siguranță informații, precum și o listă a resurselor protejate în sisteme automatizate cu dovezi documentare ale gradului de confidențialitate al fiecărei resurse, o descriere proces tehnologic prelucrarea informațiilor într-un sistem automatizat;
copii ale documentelor care confirmă dreptul de a utiliza programe de calculator și baze de date pentru activități licențiate;
informații privind disponibilitatea echipamentelor de producție și control, mijloace de protectie a informatiilorși fonduri controlul securitatii informațiile necesare pentru realizarea activităților licențiate, cu atașarea copiilor documentelor privind verificarea echipamentelor de control și măsurare;
informații despre actele juridice de reglementare aflate la dispoziția solicitantului de licență, documente normative și metodologice și metodologice privind protecția tehnică a informațiilor

FSTEC verifică caracterul complet al documentelor furnizate, caracterul complet și exactitatea informațiilor specificate în acestea. Dacă nu există suficiente informații (documente), FSTEC informează solicitantul despre acest lucru în termen de 15 zile. Într-un termen care nu depășește 45 zile de la primirea documentelor de la solicitant, FSTEC decide eliberarea licenței. Decizia se formalizează prin actul corespunzător al FSTEC.

Licența se eliberează pt 5 ani, iar după expirarea acestui termen poate fi prelungit la cererea titularului licenței.

4.3. Monitorizarea conformității cu cerințele și condițiile de licențiere

Funcția de monitorizare a conformității de către titularul licenței cu cerințele și condițiile de licență este îndeplinită de autoritatea de licențiere, adică în cazul protecției tehnice a informațiilor confidențiale - FSTEC. Metoda de control este inspecții programate și neprogramate, care se desfășoară în conformitate cu procedura stabilită de Legea federală nr. 294 „Cu privire la protecția drepturilor persoanelor juridice și antreprenorilor individuali în exercitarea controlului de stat (supravegherea) și controlului municipal”.

Scopul inspecției programate este de a verifica dacă titularul licenței respectă cerințele și condițiile de licențiere în procesul de desfășurare a activităților de protecție tehnică a informațiilor confidențiale. În legătură cu o singură entitate juridică sau întreprinzător individual, aceasta poate fi efectuată nu mai mult de o dată în decurs de trei ani. Inspecțiile programate sunt efectuate în conformitate cu planul anual de inspecție, care este publicat pe site-ul oficial al FSTEC din Rusia.

Titularul de licență este inclus în inspecția programată în cazul expirării a trei ani de la data:

înregistrare de stat titularul licenței;
încheierea ultimei inspecții programate a titularului licenței.

Titularul de licență este anunțat cu cel puțin trei zile lucrătoare înainte de inspecție.

Subiectul unei inspecții neprogramate este conformitatea de către titularul licenței cu cerințele și condițiile de licențiere, respectarea instrucțiunilor pentru eliminarea încălcărilor detectate și măsurile de asigurare a securității statului.

Baza pentru o inspecție neprogramată este:

expirarea termenului de executare a unui ordin emis anterior titularului de licență pentru a elimina încălcarea dezvăluită a cerințelor și condițiilor de licență;
primirea de către FSTEC din Rusia a cererilor și cererilor cetățenilor, persoanelor juridice, antreprenorilor individuali, informații de la autoritățile publice, autoritățile locale, din fonduri mass media despre următoarele fapte:
- apariția unei amenințări de vătămare a securității statului;
- dăunând securității statului.

Inspecțiile programate și neprogramate sunt efectuate sub formă de documente sau la fața locului. Verificarea documentară verifică documentele titularului de licență și se efectuează la sediul FSTEC. În timpul inspecției la fața locului se verifică nu doar documentele titularului de licență, ci și conformitatea acesteia cerințele de licențiere si conditii.

Perioada pentru efectuarea fiecăreia dintre verificări nu poate depăși 20 de zile lucrătoare. Pe baza rezultatelor verificării se întocmește un act în două exemplare, la care se anexează protocoalele (concluziile) studiilor (testelor) și examinărilor efectuate.

Rezumând, putem spune că procesul de obținere a unei licențe pentru protecția tehnică a informațiilor confidențiale este foarte laborios, consumator de timp și, ceea ce nu este lipsit de importanță, costisitor, deoarece pentru a obține o licență este necesară îndeplinirea tuturor licențelor. cerințe și condiții. Cel mai lung timp este pregătirea specialiştilor în cursuri de perfecţionare. În ciuda faptului că numărul organizațiilor care se ocupă de informații confidențiale este destul de mare, nu toate își pot permite specialiști cu studii profesionale superioare în domeniul TZI. Cursurile private de perfecționare aprobate de FSTEC sunt de obicei concepute pentru 72 de ore. Cea mai costisitoare cerință din punct de vedere economic este certificarea obiectelor de informatizare (un sistem automatizat și o cameră securizată) destinate prelucrării informațiilor confidențiale. Mai mult, se pune problema achiziționării de echipamente de control și măsurare, care după certificare nu sunt deloc necesare, cu excepția cazului în care organizația urmează să furnizeze servicii de certificare pentru obiectele de informatizare. O variantă alternativă este închirierea unor astfel de echipamente, dar și asta costă bani. Astfel, durata procesului de licențiere poate dura de la 2 până la 6 luni și poate implica costuri materiale semnificative. Externalizarea este o soluție la această problemă. Externalizarea este literalmente „folosirea surselor externe”. Externalizarea presupune transferul de la compania client la o organizație terță parte (antreprenor) a anumitor funcții ale activităților statutare, de exemplu, protecția tehnică a informațiilor confidențiale. În acest caz, antreprenorul își folosește software-ul, mijloacele tehnice și de altă natură de protecție, licențe, certificate etc. și este, de asemenea, responsabil pentru rezultatul muncii sale.

Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos

Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.

postat pe http://www.allbest.ru/

Ministerul Transporturilor al Federației Ruse

Agenția Federală pentru Transportul Feroviar Bugetul Federal de Stat instituție educațională studii profesionale superioare

„Orientul Îndepărtat Universitate de stat moduri de comunicare"

Departamentul de Drept Civil, Afaceri și Transport

Disciplina: Suport juridic pentru securitatea informatiilor

Tema: Licențiere și certificare în domeniul securității informațiilor

Student terminat (tka)

Nepomniachtchi Natalia Evghenievna

Verificat de: profesorul catedrei:

Jeleznyakov Anatoli Mihailovici.

Habarovsk

Introducere

1. Licentiere in domeniul protectiei informatiilor

1.1 Autoritatea de acordare a licențelor - FSTEC din Rusia

1.2 Autoritatea de acordare a licențelor - FSB din Rusia

2. Certificare in domeniul securitatii informatiilor

2.1 Structura organizationala sisteme de certificare

2.2 Procedura de certificare

Concluzie

Bibliografie

Introducere

Una dintre problemele în domeniul protecției informațiilor în Rusia este lipsa documentelor oficiale cu recomandări detaliate pentru construcția sigură sisteme de informare, similar cu cel dezvoltat, de exemplu, de Institutul American de Tehnologii Standard (SUA) și standardul britanic. Deși nu există reglementări în Marea Britanie care să impună conformitatea cu standardele guvernamentale, aproximativ 60% dintre firmele și organizațiile din Marea Britanie folosesc în mod voluntar standardul dezvoltat, iar restul intenționează să implementeze recomandările acestuia în viitorul apropiat.

Licențele și certificarea securității informațiilor pot atenua această problemă. Este necesar să se creeze garanții pentru utilizator că instrumentele de securitate a informațiilor utilizate de acesta sunt capabile să ofere nivelul necesar de protecție. Licențiarea este cea care poate ajuta la asigurarea faptului că doar specialiștii cu înaltă calificare în acest domeniu se vor ocupa de problema protecției informațiilor, iar produsele pe care le creează vor fi la nivelul corespunzător și vor putea trece certificarea.

Fără certificare, este imposibil să se evalueze dacă un anumit instrument conține caracteristici nedocumentate potențial dăunătoare, a căror prezență este caracteristică în special pentru majoritatea produselor străine, care pot duce la un moment dat la defecțiuni ale sistemului și chiar la consecințe ireversibile pentru acesta. Un exemplu tipic de astfel de capabilități nedocumentate este cel stabilit de Ericsson în dezvoltarea centralelor telefonice, pe baza căruia Ministerul Căilor Ferate din RF își construiește reteaua telefonica, capacitatea de a-și bloca munca atunci când primesc un apel către un anumit număr de telefon, pe care compania refuză să-l numească. Și acest exemplu nu este singurul.

Procesul de certificare a unui produs software durează aproximativ în același timp cu dezvoltarea sa și este practic imposibil fără codurile sursă ale programelor cu comentarii. În același timp, multe companii străine nu doresc să trimită codul sursă al lor produse software către centrele de certificare din Rusia. De exemplu, în ciuda acordului de principiu al Microsoft de a certifica Windows NT în Rusia, în care au fost deja identificate peste 50 de erori de securitate, această problemă nu a putut declanșa de multe luni din cauza lipsei codului sursă.

Documentul presupune existența mai multor clase de firewall-uri: de la cele mai simple, care permit doar controlul asupra fluxului de informații, până la cele mai complexe, realizând transcodarea completă a informațiilor primite, protejând complet rețeaua corporativă de influențele externe. Deja astăzi, firewall-uri precum Sun Screen, SKIPbridge și Pandora au trecut certificarea pentru conformitatea cu Ghidurile tehnice, așa cum este permis de legea aplicabilă. Cu toate acestea, chiar și cu certificarea lor, a existat o luptă.

1. Licentiere in domeniul protectiei informatiilor

1.1 Autoritatea de acordare a licențelor - FSTEC din Rusia

Cerințele de licențiere pentru un solicitant pentru o licență pentru a desfășura activități pentru dezvoltarea și producerea SZKI (denumită în continuare licență) sunt:

1.solicitantul de licență are cel puțin doi specialiști cu studii profesionale superioare în domeniul securității tehnice a informațiilor sau învățământ superior tehnic sau secundar profesional (tehnic) și au urmat cursuri de recalificare sau pregătire avansată în dezvoltarea și (sau) producerea sistemelor de securitate a informațiilor; ; specialist in garantie protectia utilizatorului

2. prezența în OZI a unor spații de desfășurare a tipului de activitate licențiat care îndeplinește cerințele de documentație tehnică și tehnologică, standarde naționale și documente metodologice și aparținând solicitantului de licență pe bază de proprietate sau pe alt temei legal;

3. prezența pe dreptul de proprietate sau pe un alt temei juridic necesar pentru implementarea tipului de activitate licențiat a echipamentelor de control și măsurare (promis în conformitate cu legislația Federației Ruse verificare metrologică (calibrare) și marcare), producție și echipamente de testare;

4.disponibilitatea programelor destinate implementării tipului de activitate licențiat (inclusiv instrumente de dezvoltare software pentru SZKI) pentru calculatoare electronice și baze de date deținute de solicitantul de licență pe bază de proprietate sau pe alt temei legal;

5.prezența licențelor aparținând solicitantului pe baza dreptului de proprietate sau pe orice alt temei legal, a documentației tehnice și tehnologice, a documentației care conțin standarde naționale, precum și a documentelor metodologice necesare desfășurării tipului de activitate licențiat în conformitate cu lista; aprobat de FSTEC din Rusia;

6. disponibilitatea unui sistem de control al producției, inclusiv regulile și procedurile de verificare și evaluare a sistemului de dezvoltare a SZKI, ținând cont de modificările aduse proiectării și documentatia de proiectare pentru produsele în curs de dezvoltare

7.disponibilitatea unui sistem de control al producției, inclusiv regulile și procedurile de verificare și evaluare a sistemului de producție SZKI, evaluarea calității produselor și a invariabilității setați parametri, contabilizarea modificărilor în documentația tehnică și de proiectare pentru produsele fabricate, contabilizarea produselor finite V. Kiyaev, O. Granichin. // Securitatea sistemelor informaționale // Universitatea Națională Deschisă „INTUIT” * 2016 // pp. 105-106

1.2 Autoritatea de acordare a licențelor - FSB din Rusia

Cerințele de licență pentru solicitantul de licență sunt:

1Disponibilitatea persoanelor în statul solicitantului de licență pentru postul principal conform tabloului de personal al următorului personal calificat:

2. un manager și (sau) o persoană autorizată să gestioneze munca pe un tip de activitate licențiat, având o pregătire profesională superioară în domeniul securității informațiilor în conformitate cu „Clasificatorul de specialități din întreaga Rusie” și (sau) recalificare în una dintre specialitățile acestei direcții (perioada normativă este de peste 500 de ore de curs), precum și cei cu vechime în muncă de cel puțin 5 ani în tipul de activitate licențiat;

3.Ingineri și lucrători tehnici (cel puțin două persoane) care au studii profesionale superioare în domeniul securității informațiilor în conformitate cu „Clasificatorul de specialități integral rusesc” și (sau) au urmat o recalificare în această specialitate (perioada standard este peste 100 de ore de clasă);

4. prezența spațiilor pentru desfășurarea tipului de activitate licențiat care îndeplinește cerințele documentației tehnice și tehnologice, standardelor naționale și documentelor metodologice în domeniul RFI și aparținând solicitantului de licență pe bază de proprietate sau în alte condiții legale; bază;

5. dacă solicitantul deține o licență cu privire la dreptul de proprietate sau pe un alt temei legal, echipament de control și măsurare (promis în conformitate cu legislația Federației Ruse de verificare (calibrare) și etichetare metrologică), echipamente de producție, testare și alte obiecte necesare pentru implementarea tipului de activitate licențiat;

6.disponibilitatea programelor destinate implementării tipului de activitate licențiat (inclusiv instrumente de dezvoltare software pentru SZKI) pentru calculatoare electronice și baze de date deținute de solicitantul de licență pe bază de proprietate sau pe alt temei legal;

7. disponibilitatea facilităților de procesare a informațiilor certificate în conformitate cu cerințele de securitate a informațiilor utilizate pentru dezvoltarea și producerea SZKI, în conformitate cu cerințele de protecție a informațiilor;

8.disponibilitatea unui sistem de control al producției, inclusiv regulile și procedurile de verificare și evaluare a sistemului de dezvoltare a SZKI, ținând cont de modificările aduse documentației de proiectare și construcție a produselor în curs de dezvoltare

9.disponibilitatea unui sistem de control al producției, inclusiv regulile și procedurile de verificare și evaluare a sistemului de producție al SZKI, evaluarea calității produselor și a invariabilității parametrilor stabiliți, ținând cont de modificările aduse documentației tehnice și de proiectare pentru produse fabricate, contabilitate pentru produsele finite Snytikov AA Licențiere și certificare în domeniul securității informațiilor.-M: Helios ARV, 2012 // pp. 223-224

2. Certificare de securitate a informațiilor

2.1 Structura organizatorică a sistemului de certificare

Structura organizatorică a sistemului de certificare este formată din:

1. Comisia Tehnică de Stat a Rusiei (organism federal de certificare a mijloacelor de securitate a informațiilor);

2. organul central al sistemului de certificare a mijloacelor de securitate a informațiilor;

3. organisme de certificare a mijloacelor de securitate a informațiilor;

4. centre de testare (laboratoare);

5. Solicitanți (dezvoltatori, producători, furnizori, consumatori de produse de securitate a informațiilor).

2 Comisia tehnică de stat a Rusiei, în competența sa, îndeplinește următoarele funcții:

1.Creează un sistem de certificare a mijloacelor de securitate a informațiilor și stabilește regulile de certificare a unor tipuri specifice de mijloace de securitate a informațiilor din acest sistem;

2. organizează funcționarea sistemului de certificare a mijloacelor de securitate a informațiilor;

3.determină lista mijloacelor de protecție a informațiilor care fac obiectul certificare obligatorieîn acest sistem;

4. stabilește regulile de acreditare și eliberare a licențelor pentru efectuarea lucrărilor de certificare;

5. organizează și finanțează elaborarea documentelor de reglementare și metodologice pentru sistemul de certificare a mijloacelor de securitate a informațiilor;

6. determină organul central al sistemului de certificare a mijloacelor de securitate a informațiilor (dacă este cazul) sau îndeplinește funcțiile acestui organism;

7. aprobă documentele normative privind securitatea informației, pentru conformitate cu care se realizează certificarea mijloacelor de securitate a informațiilor din sistem, precum și documentele metodologice pentru efectuarea testelor de certificare;

8. acreditează organismele de certificare și centrele de testare (laboratoare), le eliberează licențe pentru dreptul de a efectua anumite tipuri de lucrări;

9.conduce Registrul de stat participanții și obiectele certificării;

10. efectuează controlul și supravegherea de stat și stabilește procedura de control prin inspecție asupra respectării regulilor de certificare și asupra mijloacelor de securitate a informațiilor certificate;

11. ia în considerare contestațiile pe probleme de certificare;

12. depune un sistem de certificare și o marcă de conformitate pentru înregistrarea de stat la Standardul de stat al Rusiei;

13. organizează publicarea periodică a informațiilor privind certificarea;

14. interacționează cu relevantul organisme autorizate alte țări și organizații internaționale pe probleme de certificare, decide cu privire la recunoașterea certificatelor internaționale și străine;

15. organizează pregătirea și certificarea experților - auditori;

16. eliberează certificate și licențe de utilizare a mărcii de conformitate;

17. suspendă sau revocă certificatele eliberate.

2.2 Procedura de certificare

Procedura de certificare include următorii pași:

depunerea și examinarea unei cereri de certificare a mijloacelor de securitate a informațiilor; testarea instrumentelor de securitate a informațiilor certificate și certificarea producției acestora;

examinarea rezultatelor testelor, executarea, înregistrarea și eliberarea unui certificat și licență pentru dreptul de utilizare a mărcii de conformitate;

implementarea controlului și supravegherii de stat, controlul inspecției asupra respectării regulilor de certificare obligatorie și asupra mijloacelor de protecție a informațiilor certificate.

informarea cu privire la rezultatele certificării mijloacelor de securitate a informațiilor;

examinarea recursurilor.

Depunerea și examinarea unei cereri de certificare a produselor de securitate a informațiilor.

Pentru a obține un certificat, solicitantul trimite o cerere (Anexa 1) Comisiei Tehnice de Stat a Rusiei pentru testare cu indicarea schemei de certificare, a standardelor și a altor documente de reglementare pentru conformitatea cu cerințele cărora trebuie să fie efectuată certificarea.

Comisia Tehnică de Stat a Rusiei, în termen de o lună de la primirea cererii, trimite solicitantului, organismului de certificare și centrului de testare (laborator) desemnat pentru certificare, decizia de a efectua certificarea (Anexa 2). La cererea solicitantului, organismul de certificare și centrul de testare (laborator) pot fi schimbate.

După primirea deciziei, solicitantul este obligat să prezinte organismului de certificare și centrului de testare (laborator) mijloace de securitate a informațiilor în conformitate cu TU pentru acest instrument, precum și un set de documentație tehnică și operațională, în conformitate cu prevederile de reglementare. documente pentru ESKD, ESPD pentru instrumentul de securitate a informațiilor certificate.

Testarea instrumentelor de securitate a informațiilor certificate în centre de testare (laboratoare).

Testele instrumentelor de securitate a informațiilor certificate se efectuează pe mostre, a căror proiectare, compoziție și tehnologie de fabricație trebuie să fie aceeași ca și pentru mostrele furnizate consumatorului, clientului conform programelor și metodelor de testare convenite cu solicitantul și cu cele aprobate. organism de certificare. Documentația tehnică și operațională pentru instrumentele de securitate a informațiilor seriale trebuie să aibă o literă nu mai mică de „O1” (conform ESKD).

Numărul de probe, procedura de selecție și identificare a acestora trebuie să respecte cerințele documentelor de reglementare și metodologice pentru vedere dată mijloace de securitate a informațiilor.

În cazul în care nu există centre de testare (laboratoare) la momentul certificării, organismul de certificare stabilește posibilitatea, locul și condițiile de testare, asigurând obiectivitatea rezultatelor acestora.

Momentul efectuării testelor este stabilit printr-un acord între solicitant și centrul de testare (laboratorul).

La cererea solicitantului, reprezentanților acestuia ar trebui să li se ofere posibilitatea de a se familiariza cu condițiile de depozitare și testare a mostrelor de mijloace de securitate a informațiilor în centrul de testare (laborator). Kiyaev V., Granichin O. // Securitatea sistemelor informaționale // Universitatea Națională Deschisă „INTUIT” * 2016 // pp. 105-106

Rezultatele testelor sunt documentate în protocoale și concluzii, care sunt transmise de către centrul de testare (laborator) organismului de certificare, iar în copie - solicitantului.

La efectuarea unor modificări în proiectarea (compoziția) mijloacelor de securitate a informațiilor sau a tehnologiei de producție a acestora, care pot afecta caracteristicile mijloacelor de securitate a informațiilor, solicitantul (dezvoltator, producător, furnizor) sesizează organismul de certificare. Acesta din urmă decide asupra necesității unor noi teste ale acestor instrumente de securitate a informațiilor.

Certificarea instrumentelor de securitate a informațiilor importate se realizează după aceleași reguli ca și cele interne.

Concluzie

Și astfel, aceasta este o procedură de evaluare a conformității prin care o organizație independentă de producător (vânzător) și consumator (cumpărător) certifică în scris că produsul îndeplinește cerințele stabilite. Dacă vorbim de certificare în raport cu mijloacele de securitate a informațiilor, atunci aceasta este o activitate de confirmare a conformității acestora cu cerințele reglementărilor tehnice, standardelor naționale sau altor documente de reglementare privind securitatea informațiilor.

Sistemul de certificare în sine este reprezentat de FSTEC din Rusia, care este subordonată organismelor de certificare acreditate pentru mijloacele de securitate a informațiilor și laboratoarele de testare.

Întregul sistem de certificare asigură, în primul rând, realizarea securității naționale în domeniul informatizării. La fel de importantă este formarea și implementarea unei politici unificate științifice, tehnice și industriale în domeniul informatizării. Precum și asistență în formarea unei piețe pentru tehnologiile informaționale securizate și mijloacele de susținere a acestora, reglementarea și controlul dezvoltării, precum și producerea ulterioară a mijloacelor de securitate a informațiilor, asistență pentru consumatori în alegerea competentă a mijloacelor de securitate a informațiilor, consumator protecția împotriva necinstei contractantului (vânzător, producător), confirmarea indicatorilor de calitate a produselor.

Licențiere - activități legate de acordarea licențelor, reemiterea documentelor care confirmă disponibilitatea licențelor, suspendarea și reînnoirea licențelor, anularea licențelor și controlul autorităților de acordare a licențelor asupra respectării de către titularii de licențe în implementarea activităților licențiate. a cerințelor și condițiilor de licențiere relevante.

Licență - un permis special de desfășurare a unui anumit tip de activitate sub rezerva respectării obligatorii a cerințelor și condițiilor de licențiere, eliberat de autoritatea de acordare a licențelor unei persoane juridice sau unui antreprenor individual.

Activitățile de licențiere în domeniul securității informațiilor sunt efectuate de FSB și FSTEC din Rusia. Luați în considerare activitățile licențiate în domeniul protecției informațiilor confidențiale.

FSB al Rusiei:

1. Dezvoltarea și (sau) producerea de mijloace de protecție a informațiilor confidențiale (în competența FSB)

2. Dezvoltarea, producerea, vânzarea și cumpărarea în scopul vânzării de mijloace tehnice speciale destinate primirii secrete de informații de către întreprinzătorii individuali și persoanele juridice implicate în activități antreprenoriale

3.Activități de identificat dispozitive electronice, destinat primirii secrete de informatii, in incinta si mijloace tehnice (cu exceptia cazului in care activitatea specificata este desfasurata pentru a satisface nevoile proprii ale unei persoane juridice sau ale intreprinzatorului individual)

4.Activități de distribuire a mijloacelor de criptare (criptografice).

5. Activități de întreținere a instalațiilor de criptare (criptografie).

6.Furnizarea de servicii in domeniul criptarii informatiilor

7. Dezvoltarea, producerea mijloacelor de criptare (criptografice), protejate prin mijloace de criptare (criptografice) a sistemelor informatice, sistemelor de telecomunicatii.

Bibliografie

1 . V. Kiyaev, O. Granichin // Securitatea sistemelor informatice // Universitatea Națională Deschisă „INTUIT” * anul 2016 // p. 105-106

2. Snytikov A.A. Licențiere și certificare în domeniul securității informațiilor.-M: Helios ARV, 2012 // pp. 223-224

3. Sistem de certificare a mijloacelor de protecție criptografică a informațiilor: Nr. ROSS RU.0001.030001 din 15 noiembrie 2012.

4.Bumazhkov A. Kirina A. Licențiere și certificare în domeniul securității informațiilor

5. Termeni și definiții în domeniul securității informațiilor Moscova, 2011

Postat pe Allbest.ru

...

Documente similare

Principiile de bază pe care ar trebui să le asigure securitatea informațiilor, cadrul normativ și legal al acesteia. Organele statului RF, controlul activităților în domeniul securității informațiilor, documente de reglementare în acest domeniu. Metode de protecție a informațiilor.

rezumat adăugat la 24.09.2014

Mijloace și metode pentru rezolvarea diverselor sarcini de protejare a informațiilor, prevenirea scurgerilor, asigurarea securității informațiilor protejate. Securitate tehnică (hardware), software, organizațională, mixtă hardware și software.

rezumat, adăugat 22.05.2010

Suport juridic și de reglementare pentru securitatea informațiilor în Federația Rusă. Regimul juridic al informaţiei. Organisme care asigură securitatea informațiilor din Federația Rusă. Servicii care organizează securitatea informațiilor la nivel de întreprindere. Standarde de securitate a informațiilor.

prezentare adaugata 19.01.2014

Principalele metode de acces neautorizat la informații în sisteme informatice si protectie fata de ea. Acte organizatorice, juridice și de reglementare internaționale și interne pentru a asigura securitatea informațiilor proceselor de prelucrare a informațiilor.

rezumat adăugat la 04.09.2015

Informația ca parte cea mai importantă a sistemului modern de comunicare. Reglementare legală în domeniul securității informațiilor. Documente legale și de reglementare care reglementează protecția informațiilor. Forme organizatorice si juridice de protectie a secretelor de stat.

test, adaugat 11.03.2009

Recomandări pentru dezvoltarea afacerilor mici. Protecția drepturilor de proprietate, dezvoltarea instituțiilor pieței. Impozitele și administrarea acestora. Sistem de licențiere și autorizare. Cecuri, amenzi și penalități. Accesul la informație și deschiderea statului.

rezumat, adăugat 31.05.2009

Obiectivele implementarii licentei in domeniul protectiei mediu inconjuratorși utilizarea resurselor naturale. Lista tipurilor de licențe - documente care dau dreptul de a folosi un tip de resursă naturală în loc stabilit si in anumite conditii.

test, adaugat 19.12.2012

Licențiere ca instituție civilă. Program guvernamental privatizarea întreprinderilor de stat și municipale din Rusia. Funcții serviciu federal privind supravegherea în domeniul transporturilor. Licențiere activitate antreprenorială.

Conceptul de informație, resurse informaționale, locul lor în dreptul modern. Semne de informații cu acces limitat. Regimul juridic de protecție constituind secret de stat, oficial, profesional; asigurarea inaccesibilității terților.

rezumat adăugat la 13.12.2013

Licența ca formă reglementare de stat... Procedura de autorizare a activităților băncilor și organizațiilor nebancare de credit și financiare. Licențierea activităților de proiectare și construcție de clădiri și studii inginerești.

Licențierea activităților de protecție tehnică a informațiilor confidențiale

Pe anul trecut Cadrul sublegal în domeniul securității informațiilor a format mecanisme costisitoare, confuze, contradictorii care nu țin cont nici de particularitățile prelucrării informațiilor confidențiale în diverse domenii de activitate, nici de capacitatea operatorilor de a respecta cerințele stabilite. În plus, cerințele pentru operatorii de sisteme informatice care prelucrează informații confidențiale, inclusiv date cu caracter personal, de la FSTEC din Rusia includ un astfel de mecanism de reglementare de stat precum acordarea de licențe pentru activitățile de protecție tehnică a informațiilor confidențiale, pentru implementarea căruia majoritatea operatorilor. nu dispun de resurse materiale şi de muncă suficiente. Acest lucru este valabil mai ales pentru organizațiile bugetare din domeniul educației, serviciilor medicale, locuințelor și serviciilor comunale. Probleme juridice au apărut din cauza absenței legilor privind protecția informațiilor confidențiale în legislația federală, de exemplu, secretele oficiale, secretele profesionale, ambiguitatea prevederilor, precum și modificările și completările repetate aduse Legii federale nr. 152 „Cu privire la datele cu caracter personal”. ", alte acte juridice de reglementare... În același timp, legile federale necesită specificații și clarificări suplimentare prin decrete ale Guvernului Federației Ruse și documente metodologice ale FSTEC și FSB al Rusiei.

Adoptarea de către Guvernul Federației Ruse a Decretului nr. 79 din 3 februarie 2012 „Cu privire la activitățile de licențiere pentru protecția tehnică a informațiilor confidențiale” cu aprobarea „Regulamentului privind activitățile de licențiere pentru protecția tehnică a informațiilor confidențiale” (în continuare denumite Regulamente) și anularea Decretului anterior valabil din 15 august 2006 nr. 504 ridică încă o dată întrebarea, ce este nou în regulamentul menționat și este o licență de la FSTEC din Rusia necesară dacă organizația protejează confidențialitatea informații „pentru propriile nevoi”, și nu oferă servicii pentru bani?

În conformitate cu clauza 1, Regulamentul stabilește procedura de autorizare a activităților pentru protecția tehnică a informațiilor confidențiale (care nu conțin informații care constituie secret de stat, dar protejate în conformitate cu legislația Federației Ruse), desfășurate de persoane juridice și persoane fizice. antreprenori.

Și întrebarea apare imediat cu termenul „informații confidențiale”, care este dat în Regulamente și este folosit în documentele FSTEC din Rusia, dar este absent în legislația federală. Legea federală nr. 149 din 27.07. 2006" Despre informatii, tehnologia de informațieși privind protecția informațiilor „în clauza 7 a art. 2 oferă doar o definiție a confidențialității informațiilor, ca fiind obligatorie pentru persoana la care a avut acces anumite informatii, cerința de a nu transfera astfel de informații către terți fără acordul proprietarului acesteia. Confidențialitatea în traducerea din latină înseamnă „încredere” (adică prin transmiterea unor astfel de informații, sperăm în siguranța și neproliferarea acesteia, deoarece dezvăluirea ei poate cauza anumite daune părților). Rețineți că lipsa de claritate a anumitor termeni, precum și modificări uneori nerezonabile ale definițiilor și conceptelor legislatia informatiilor nu vă îmbunătățiți reglementare legală v sfera informațională... În același timp, FSTEC din Rusia continuă să folosească termenul de „informații confidențiale”, pe care legiuitorii l-au abandonat deja.

Conform legislației Federației Ruse, semnele obligatorii de informații cu acces limitat ar trebui să fie:

informațiile au valoare reală sau potențială pentru proprietar din cauza necunoscutului lor de către terți. Astfel de persoane pot fi de stat, juridice sau indivizii;
nici o informatie disponibila acces liber legal. Posibilitatea de a-l păstra necunoscut terților este stabilită de legea federală;
proprietarul informațiilor ia măsuri pentru a le proteja.

La 6 martie 1997, președintele Federației Ruse a emis Decretul nr. 188, care a aprobat „Lista informațiilor confidențiale”, conform căreia următoarele informații au fost clasificate drept informații confidențiale:

despre fapte, evenimente și circumstanțe intimitate un cetățean, permițând identificarea identității (datelor personale) acestuia, cu excepția informațiilor care fac obiectul difuzării în mass-media în cazurile stabilite de legile federale;
constituirea secretului anchetei și procedurilor judiciare;
accesul la care este limitat de autoritățile publice în conformitate cu Codul civil al Federației Ruse și cu legile federale ( secret oficial);
conectat cu activitati profesionale, accesul la care este limitat în conformitate cu Constituția Federației Ruse și cu legile federale (medical, notarial, secretul avocatului, confidențialitatea corespondenței, convorbiri telefonice, trimiteri poştale, telegraf sau alte mesaje etc.);
cele legate de activități comerciale, la care accesul este limitat în conformitate cu Codul civil al Federației Ruse și legile federale (secrete comerciale);
asupra esenței invenției, modelului de utilitate sau desenului industrial anterior publicării oficiale a informațiilor despre acestea.

Noua Rezoluție clarifică, de asemenea, termenul „protecția tehnică a informațiilor confidențiale” (denumit în continuare - TZKI), care, în conformitate cu clauza 2 din Regulament, înseamnă:

Efectuarea muncii și (sau) furnizarea de servicii pentru a o proteja de accesul neautorizat, de scurgeri canale tehnice, precum și din influențe deosebite asupra unor astfel de informații în scopul distrugerii acestora, distorsionării sau blocării accesului la acestea.

În acest fel este vorba fie cu privire la efectuarea lucrărilor la TZKI, fie la prestarea de servicii pe TZKI, fie la activități comune.

La desfășurarea activităților de protecție tehnică a informațiilor confidențiale Următoarele tipuri de lucrări și servicii sunt supuse licenței:

controlul asupra protecției informațiilor confidențiale împotriva scurgerii prin canale tehnice în:

- mijloace si sisteme de informatizare;

Mijloace (sisteme) tehnice care nu procesează confidențial

informații, dar plasate în incinta în care sunt prelucrate;

Spații cu dotări (sisteme) de protejat;

Spații destinate desfășurării negocierilor confidențiale (în continuare - sediu protejat);

controlul asupra protecției informațiilor confidențiale împotriva accesului neautorizat și modificarea acestora în mijloacele și sistemele de informatizare;
teste de certificare pentru conformitatea cu cerințele de securitate a informațiilor ale produselor utilizate pentru protejarea informațiilor confidențiale (mijloace tehnice de protecție a informațiilor, mijloace tehnice protejate de prelucrare a informațiilor, mijloace tehnice de monitorizare a eficacității măsurilor de protecție a informațiilor, mijloace software (software și hardware) de protecția informațiilor (denumite în continuare - SSS), software protejat (software și hardware) instrumente de prelucrare a informațiilor, controale software (software și hardware) pentru securitatea informațiilor);
teste de atestare și atestare pentru conformitatea cu cerințele de protecție a informațiilor:

Spații protejate;

design protejat:

- mijloace si sisteme de informatizare;

Localuri cu mijloace (sisteme) de informatizare de protejat;

Spații protejate;

instalarea, instalarea, testarea, repararea mijloacelor de securitate a informațiilor (sisteme tehnice de securitate a informațiilor, mijloace tehnice protejate de prelucrare a informațiilor, mijloace tehnice de monitorizare a eficacității măsurilor de protecție a informațiilor, software (software și hardware) mijloace de securitate a informațiilor, software protejat (software și hardware) mijloace de procesare a informațiilor, software (software și hardware) mijloace de control al securității informațiilor).

În același timp, funcționarea sistemului de securitate a informațiilor, în contrast cu funcționarea fondurilor protecţie criptografică, unde autoritatea de acordare a licențelor este FSB al Rusiei, nu se aplică tipului de activitate licențiat. Această poziție a FSTEC din Rusia ridică întrebări. De ce sunt licențiate doar primele etape ale creării unui sistem de protecție - proiectarea sistemului de protecție și instalarea mijloacelor de protecție? De ce munca zilnică a specialiștilor și a serviciilor de securitate a informațiilor pentru operarea și controlul eficienței sistemelor de securitate a informațiilor nu este supusă licenției? La urma urmei, nu este mai puțin importantă decât crearea unui sistem de protecție, deoarece sarcinile de licențiere a anumitor tipuri de activități sunt prevenirea, identificarea și suprimarea încălcărilor de către o persoană juridică, conducătorul acesteia și altele. oficiali cerințele care sunt stabilite prin Legea federală din 4.5.2011. Nr. 99-FZ „Cu privire la licențierea anumitor tipuri de activități”, alte legi federale și alte acte juridice de reglementare ale Federației Ruse adoptate în conformitate cu acestea.

În virtutea paragrafului 1 al art. 49 din Codul civil al Federației Ruse în anumite tipuri de activități, a căror listă este determinată de lege, o entitate juridică poate fi angajată numai pe baza permisiunea speciala(licențe). Tipurile de activități pentru care este necesară obținerea unei licențe sunt indicate în Legea federală din 4.05.2011 N 99-ФЗ „Cu privire la autorizarea anumitor tipuri de activități”, clauza 5 din art. 12 dintre acestea includ printre aceste tipuri și activități pe TZKI.

Conceptul de „servicii” înseamnă un anumit tip de contract (capitolul 39, articolele 779-783 din Codul civil al Federației Ruse), adică o tranzacție multilaterală, în care trebuie să existe în mod necesar o altă parte (clauza 1 a articolului). 154 din Codul civil al Federației Ruse). Dar conceptul de „muncă” nu este definit în lege și poate fi definit doar pe baza mai multor sensuri în limba rusă: „ocupație, muncă, activitate”.

Astfel, din formularea de mai sus, putem concluziona că activitățile pe TZKI, atât ale terților („servicii”), cât și pentru nevoi proprii („lucrări”), sunt supuse licențiarii.

În consecință, dacă o organizație, în cadrul protecției informațiilor confidențiale interne, desfășoară lucrări privind protecția sa tehnică, trebuie să obțină o licență corespunzătoare. De exemplu, în ceea ce privește protecția datelor cu caracter personal, operatorul nu are „nevoi proprii” pentru protecția acestora și nu poate exista în temeiul legii. Unicul scop al Legii federale nr. 152 „Cu privire la datele cu caracter personal” este acela de a asigura protecția drepturilor și libertăților umane și civile atunci când prelucrează datele sale personale. Legea nu specifică alte scopuri (inclusiv satisfacerea nevoilor operatorilor). În plus, FZ 99-FZ „Cu privire la licențierea anumitor tipuri de activități” include tipuri de activități care pot duce la prejudicii drepturilor, intereselor legitime și sănătății cetățenilor. Legea nu face distincție între interesele subiectului datelor cu caracter personal (angajat) și ale subiectului datelor cu caracter personal (terț) privind dreptul constituțional al cetățeanului la secretul personal. Legiuitorul (prin institutul de licențiere) protejează orice subiect al datelor cu caracter personal de consecințele performanței de calitate proastă a muncii pe TZKI.

Reglementări administrative ale FSTEC din Rusia pentru execuție functie de stat privind activitățile de licențiere pentru TZKI (denumite în continuare Regulamentul Administrativ), aprobat prin ordin din 28.08.07. nr. 181 s ultimele modificari din 30.09.2011, în conformitate cu ordinul nr. 515, termenii și succesiunea acțiunilor (procedurilor administrative) ale FSTEC din Rusia au fost determinate în exercitarea competențelor de licențiere a activităților TZKI. Licențierea face obiectul activităților TZKI desfășurate de persoane juridice și antreprenori individuali.

Analiza provizioanelor Reglementări administrative arată că procedura de obținere a licenței pentru TZKI necesită mult timp, efort și bani. Pentru a obține o licență pentru activitățile TZKI, este necesar să se confirme posibilitatea îndeplinirii cerințelor și condițiilor de licențiere determinate de Regulament.

Cerințele de licențiere pentru un solicitant pentru o licență pentru a desfășura activități în temeiul TZKI sunt (clauza 5 din Regulamente):

a) solicitantul de licență are persoană juridică - specialiști care fac parte din personalul solicitantului de licență, care au studii profesionale superioare în domeniul securității informațiilor tehnice sau studii superioare tehnice sau secundare profesionale (tehnice) și au urmat cursuri de recalificare sau perfecționare; în securitatea informațiilor tehnice.

b) solicitantul de licență (titularul de licență) are spații pentru desfășurarea activităților licențiate care îndeplinesc standardele și cerințele tehnice pentru protecția tehnică a informațiilor stabilite prin actele juridice de reglementare ale Federației Ruse și îi aparțin pe baza dreptului de proprietate sau pe baza orice alt temei juridic;

c) disponibilitatea, pe orice bază legală, a echipamentelor de producție, testare și control și măsurare care au suferit verificări metrologice (calibrare), marcare și certificare în conformitate cu legislația Federației Ruse;

d) utilizarea sistemelor automate care prelucrează informații confidențiale, precum și a mijloacelor de protecție a acestor informații care au trecut procedura de evaluare a conformității (certificate și (sau) certificate în conformitate cu cerințele de securitate a informațiilor) în conformitate cu legislația Federației Ruse;

e) utilizarea de programe pentru calculatoare electronice și baze de date destinate realizării de activități licențiate în baza unui acord cu titularul de drept al acestora;

f) disponibilitatea actelor juridice de reglementare, a documentelor de reglementare și metodologice și metodologice privind protecția tehnică a informațiilor în conformitate cu lista stabilită de FSTEC din Rusia.

După cum puteți vedea, pentru a îndeplini cerințele de mai sus, o organizație trebuie să aibă cel puțin 2 specialiști, care, în unele cazuri (în lipsa unui învățământ superior de specialitate), vor necesita pregătirea lor în cursuri de perfecţionare în curricula convenit cu FSTEC din Rusia în valoare de cel puțin 72 de ore. În plus, vor fi necesare documente de reglementare, inclusiv acces limitat, precum și prezența pe orice bază legală (deținute sau închiriate pe o perioadă nu mai mică decât perioada de valabilitate a licenței) a echipamentelor de producție, testare și control și măsurare care au fost supuse verificării metrologice (calibrare), marcajului și certificării în conformitate cu prevederile legislația Federației Ruse. Pe lângă cele de mai sus, va fi necesară proiectarea, crearea și certificarea obiectelor de informatizare (un sistem automatizat și o cameră securizată) destinate procesării informațiilor confidențiale. În acest caz, se pune problema achiziționării, pe orice bază legală, a echipamentelor de control și măsurare de care titularul de licență nu are nevoie pentru a furniza servicii TZKI. Mai mult, majoritatea acestor cerințe sunt destul de costisitoare din punct de vedere economic, în primul rând pentru organizațiile bugetare din domeniul educației, serviciilor medicale, locuințelor și serviciilor comunale.

Executarea funcției de stat de licențiere a activităților TZKI în conformitate cu clauzele 12-14 din Regulamente include următoarele proceduri administrative (Fig. 1):

informarea și consultarea cu privire la procedura de îndeplinire a funcțiilor de stat;
examinarea unei cereri de licență;
verificarea posibilității ca solicitantul de licență să îndeplinească cerințele și condițiile de licență;
luarea unei decizii privind acordarea licenței;
eliberarea unui document care confirmă existența unei licențe;
eliberarea unui duplicat și a copiilor unui document care confirmă existența unei licențe;
reînnoirea perioadei de valabilitate a licenței;
reemiterea unui document care confirmă existența unei licențe;
controlul conformității de către titularul licenței cu cerințele și condițiile de licențiere;
suspendarea, reînnoirea licenței și revocarea licenței;
menținerea unui registru de licențe;
furnizarea de informații din registrul de licențe.

Un funcționar al FSTEC din Rusia ia o decizie privind acordarea sau refuzul acordării unei licențe într-o perioadă care nu depășește 45 de zile de la data primirii cererii de licență și a documentelor atașate acesteia (clauza 14.1 din Regulamente).

Motivele pentru refuzul acordării unei licențe sunt (clauza 14.3 din Regulament):

prezența în documentele prezentate de solicitantul licenței, a unor informații inexacte sau denaturate;

nerespectarea solicitantului de licență, a obiectelor care îi aparțin sau a obiectelor folosite de acesta cu cerințele și condițiile licenței.

Licența de desfășurare a activităților de protecție tehnică a informațiilor confidențiale se acordă pe o perioadă de 5 ani (clauza 14.4 din Regulament). În același timp, din 30 ianuarie 2011, mărimea taxelor de stat a fost modificată: pentru acordarea unei licențe - 2600 de ruble și pentru prelungirea valabilității unei licențe - 200 de ruble.

După cum se poate vedea din schemă și proceduri (Fig. 1), biroul central al FSTEC din Rusia este implicat în acordarea licenței TZKI cu implicarea departamentelor FSTEC din Rusia pentru districtele federale spre deosebire de procedurile de licențiere ale FSB al Rusiei, în care departamentele teritoriale ale FSB din Rusia sunt angajate în acordarea de licențe în domeniul lor de responsabilitate. Durata procesului de licențiere TZKI în timp poate dura de la două până la șase luni și poate implica costuri financiare semnificative, mai ales în cazul achiziției de echipamente de control și măsurare.

Este posibil să scapi de nevoia de a licenția activitățile organizațiilor și întreprinderilor pentru TZKI? Recomandările FSTEC din Rusia se rezumă la necesitatea încheierii unui acord cu o organizație licențiată pentru TZKI, în timp ce operatorul are licența menționată. cerinta obligatorie nu este.

Recomandările FSTEC din Rusia de a încheia acorduri cu licențiații, dintre care în registru sunt mai puțin de 2000, nu permit rezolvarea problemei protejării informațiilor confidențiale. Potrivit estimărilor experților, în Rusia există doar 5-7 milioane de operatori de date cu caracter personal, fără a lua în calcul operatorii care prelucrează alte tipuri de informații restricționate supuse protecției în conformitate cu legea federală. În plus, un acord cu un licențiat este de obicei încheiat doar pentru o anumită cantitate de muncă și servicii, de regulă, numai pentru crearea unui sistem de protecție a informațiilor confidențiale.

Care sunt riscurile cu care se confruntă majoritatea organizațiilor care nu au și nu intenționează să obțină licențe pentru TZKI sau să primească serviciile organizațiilor care dețin o astfel de licență, dacă acestea rămân neschimbate? politici publice și poziția FSTEC din Rusia? Fiecare organizație trebuie să decidă singură dacă este necesar să obțină o astfel de licență. Nu există sancțiuni administrative pentru efectuarea de lucrări fără licență pentru activitățile TZKI de către FSTEC din Rusia, iar în situația actuală este puțin probabil ca aceste sancțiuni să apară, deoarece în condițiile de imperfecțiune a legislației noastre privind protecția informațiilor confidențiale , instanțele interpretează normele legilor federale în moduri diferite și responsabilitatea pentru eșecul lor... Ca urmare, severitatea rezoluției este compensată de caracterul neobligatoriu al punerii în aplicare a acesteia. De exemplu, articolul 14.1 din Codul administrativ al Federației Ruse prevede răspunderea pentru „Desfășurarea de activități antreprenoriale fără înregistrare de stat sau fără permisiunea specială (licență)”. Potrivit articolului 2 din Codul civil al Federației Ruse, „o activitate de întreprinzător este o activitate independentă desfășurată pe propriul risc, care vizează în mod sistematic obținerea de profit din utilizarea proprietății, vânzarea de bunuri, prestarea muncii sau prestarea de servicii de către persoane înregistrate în această calitate în modul prevăzut de lege.” Numai acest lucru sugerează că articolul 14.1 poate fi aplicat numai celor care furnizează servicii și câștigă bani din asigurarea securității informațiilor, de exemplu. licențiații FSTEC și FSB din Rusia. Acest articol nu are nicio legătură cu marea majoritate a organizațiilor care prelucrează informații confidențiale (informații cu acces limitat care nu constituie secret de stat). Potrivit multor specialiști în protecția informațiilor, pentru majoritatea organizațiilor neguvernamentale care nu au legătură cu protecția secretelor de stat, doar formele de gestionare a protecției informațiilor confidențiale sunt cu adevărat posibile prin utilizarea în mod recomandat a actelor juridice de reglementare, a ghidurilor și a documentelor metodologice ale autorităților de reglementare. , documentele organizatorice și administrative ale organizațiilor, utilizarea sistemelor dezvoltate și testate în interesul autorităților publice și al întreprinderilor subordonate acestora de securitate a sistemelor și informațiilor. În acest caz, baza funcționării sistemelor de protecție a informațiilor confidențiale este alegerea personală a proprietarului informațiilor cu privire la gradul de securitate și a mecanismelor de protecție. Totodată, conform experienței țărilor cu legislație dezvoltată în domeniul securității informațiilor, factorii determinanți sunt riscul participanților la relațiile informaționale și responsabilitatea personală a acestora față de măsurile luate pentru protejarea informațiilor confidențiale. În Rusia, această abordare, de exemplu, a fost implementată atunci când Standardele Băncii Rusiei au fost introduse în organizația RF BS, când cerințele pentru obținerea de licențe pentru protecția tehnică a informațiilor confidențiale și cerințele pentru certificarea sistemelor de informații cu date personale nu sunt obligatoriu (în conformitate cu clauza 9. 6 STO BR IBBS-1.0-2010).

Alexandru Katarzhnov

dr., conferențiar, NOU DO Centru de instruire"EUREKA"

Creșterea rapidă a informatizării și creșterea volumelor informatii digitale sunt nevoiţi să crească nivelul de securitate. Aceasta a avut ca rezultat dezvoltare activă căi diferite protecția datelor, precum și companiile care oferă servicii de confidențialitate. Mai mult, un astfel de tip de activitate este permis numai număr limitat companiilor.

Obligația de a obține permisiunea

Protejarea informațiilor personale și de afaceri este o afacere delicată și importantă. Este inacceptabil să furnizezi astfel de servicii fără permisiune. Următoarele tipuri de măsuri sunt necesare pentru a proteja informațiile:

Dezvoltarea, producerea și distribuția de instrumente de criptare
Lucrări privind protecția tehnică a informațiilor confidențiale
Detectare mijloace electronice folosit pentru a obține în secret date
Producerea și dezvoltarea SZKI (mijloace de protejare a informațiilor confidențiale)
întreținere mijloace criptografice protectia informatiei, telecomunicatiilor si sistemelor informatice.

O excepție de la aceasta este dezvoltarea instrumentelor de criptare pentru uz personal sau. De asemenea, nu este necesară nicio licență pentru întreținerea informațiilor și a altor sisteme utilizate pentru informațiile interne ale unei anumite companii.

De ce avem nevoie de o licență pentru protecția tehnică (și de altă natură) a informațiilor confidențiale, vom spune mai jos.

Licență pentru protecția tehnică a informațiilor confidențiale

Principalele sarcini de licențiere

Trebuie înțeles că nivelul de confidențialitate al informațiilor poate fi diferit.

Pentru unele companii, scurgerea de date poate aduce doar inconveniente morale, în timp ce altele își vor pierde capacitatea de a funcționa ca urmare.
De asemenea, nu uitați de secretele comerciale ale producției diverselor bunuri. Dacă sunt făcute publice, este probabil dezvoltare diferită evenimente.

Obiectivul principal al acordării de licențe este de a reduce activitățile incompetente. Solicitanții de licență trebuie să îndeplinească o varietate de criterii pentru a asigura servicii de protecție a datelor de calitate și întreținere corectă.

Acest videoclip vă va spune despre tehnologiile de securitate a informațiilor:

Documente normative

Eliberarea licențelor este guvernată de o serie de reglementări, legi și reglementări. Unul dintre documentele principale este Legea federală nr. 99 din 4 mai 2011 „Cu privire la licențierea anumitor tipuri de activități”. De asemenea, următoarele rezoluții ale Guvernului Federației Ruse se aplică activităților de protecție a informațiilor:

Nr 45 din 26 ianuarie 2006
Nr 532 din 31 august 2006
Nr 691 din 23 septembrie 2002.

De asemenea, merită să vă familiarizați cu Decretul Guvernului Federației Ruse nr. 1418 din 24.12.1994. Toate aceste documente prevăd o analiză detaliată a procedurii de obținere a autorizației și indică condițiile pentru furnizarea acesteia împreună cu o listă a documentelor necesare.

Procedura de obținere a unei licențe de la FSTEC din Rusia pentru protecția tehnică a informațiilor confidențiale, redactarea unei declarații pe această temă - toate acestea sunt descrise mai jos.

Obținerea licenței de desfășurare a activităților de protecție a informațiilor

Activitățile de protecție a informațiilor necesită respectarea unei liste mari de condiții și pregătire sistematică. După depunerea cererii solicitantului de licență, va aștepta cu siguranță o expertiză, formată din angajați ai FSB și FSTEK. Compoziția specifică comisia de expertiză depinde de tipul de activitate ales.

Cererea și locul depunerii documentelor

Cererea de licență care permite desfășurarea activităților de protecție a informațiilor se completează în forma prevăzută de lege. Un exemplu de cerere este furnizat de autoritățile de licențiere. Eliberarea în sine a licențelor pentru activitățile de protecție a informațiilor este efectuată de două organizații:

Serviciul Federal de Securitate (FSB).
Serviciul Federal de Control Tehnic și Export (FSTEC).

Cea mai mare parte a cererilor sunt depuse la FSB, acestea asigură majoritatea activităților. FSTEC este responsabil de controlul asupra producerii și dezvoltării mijloacelor specializate de protejare a informațiilor confidențiale.

Condițiile necesare pentru acordarea licenței (obținerea unei licențe) pentru protecția tehnică a informațiilor confidențiale sunt descrise mai jos.

Condiții

Principala dificultate în obținerea unei licențe o reprezintă termenii grantului. Lista este destul de largă, iar în lipsa oricărui articol, solicitantul este lipsit de dreptul de a elibera un permis. Mai mult, condițiile pentru tipuri diferite activitățile diferă, deși există o listă generală.

Trebuie îndeplinite următoarele condiții:

Să aibă cel puțin 2 angajați cu studii corespunzătoare sau cursuri de recalificare finalizate
Deține sau închiriază spații cu conformitate tehnică obligatorie cu tipul de activitate declarat
Să formeze o bază materială și tehnică din instrumentare, test și alte tipuri de echipamente necesare, în funcție de tipul de activitate
Confirmați că software-ul necesar este deținut sau disponibil în alt mod legal
Disponibilitate sistem specializat control în conformitate cu tipul de activitate selectat și paragraful specific al acestuia
Deține documentația tehnică legal, evoluții metodologice, precum și alte date pe hârtie și digitale necesare desfășurării afacerilor.

De asemenea, pentru unele tipuri de activități, pot fi necesare anumite facilități de procesare a informațiilor certificate pentru măsuri de siguranță.

O altă cerință pentru toate tipurile de activități, cu excepția producției și dezvoltării SZKI, este prezența în post a unui manager care are educatie inalta in specialitatea " Securitatea informațiilor»Sau a finalizat un curs de recalificare de peste 500 de ore de clasă.

Documente necesare

Împreună cu condițiile menționate, trebuie să furnizați următorul pachet de documente:

Contracte de munca, certificate si diplome ale angajatilor
Cerere și documente justificative pentru plata taxei de stat
Documente care confirmă existența legală a sistemelor de control
Documente de titlu pentru sediu și software
Date despre disponibilitatea documentației tehnice și a altor documente necesare
Documente care confirmă disponibilitatea materialului necesar și a bazei tehnice
Certificate de conformitate pentru unitățile de prelucrare a informațiilor și/sau spațiile protejate.

Toate datele sunt furnizate împreună cu acte constitutive solicitant. Numărul de formulare de hârtie variază foarte mult în funcție de tipul de activitate ales, de prezența mai multor premise, programe și documentatie tehnica... De aceea, la colectarea unui pachet de documente, este necesar să se clarifice prezența unor noi acte juridice de reglementare privind acordarea de licențe pentru activitățile de protecție a informațiilor.

Etapele activităților de licențiere pentru organizarea securității informațiilor sunt descrise mai jos.

Etape

Procedura de licențiere durează un numar mare de timp. Din punct de vedere legal, termenele pentru emiterea acestui document sunt limitate la 45 de zile. Unul dintre pași importanți este etapa premergătoare obținerii unui permis, însăși posibilitatea acordării dreptului la activități de protecție a informațiilor depinde de calitatea implementării acestuia.

Etape pregătitoare pentru acordarea licenței:

Studiul cadrului de reglementare
Dezvăluirea respectării condițiilor enunțate
Colectarea unui pachet de documente și întocmirea unei cereri
Reanaliza condițiilor și documentele furnizate.

Cu o perioadă pregătitoare de licență desfășurată corespunzător, probabilitatea de a obține o licență este foarte mare. Adesea motivul refuzului îl reprezintă tocmai erorile în documentele depuse sau nerespectarea condițiilor necesare.

După etapa preliminara este necesară depunerea documentelor la autoritatea de licențiere necesară, selectate în funcție de tipul de activitate (FSB sau FSTEC). Următorul punct va fi examinarea documentelor de către comisia de experți. Dacă se potrivesc, se organizează o verificare capabilități tehniceși condițiile pentru a face afaceri. Etape finale este eliberarea unui formular oficial de licență.

Informații utile

O atenție deosebită ar trebui acordată faptului că toți actualii licențiați sunt supuși inspecțiilor de rutină de către FSB. Mai mult, acest tip de activitate se caracterizează prin verificări spontane fără avertisment. Ele sunt conduse legal pentru a realiza calitate maxima servicii furnizate pentru păstrarea informațiilor.
Din acest motiv, perioada licenței este stabilită la minim 5 ani, iar procedura de reînnoire a autorizației este simplificată. Este necesară reeliberarea documentului de confirmare a permisului. La cererea titularului licenței, i se eliberează un nou formular cu termen de valabilitate prelungit. Acest lucru este posibil numai în absența unor încălcări grave - dacă există, licența este revocată.

Obținerea permisiunii de a desfășura activități de protecție a datelor nu este deosebit de dificilă în sine. Este mult mai dificil să colectați pachetul de documente necesar și să respectați corect toate condițiile cerute. Când solicitați o licență, este cel mai important să acordați atenție etapa pregătitoareși cu implementarea sa de înaltă calitate, nu va fi dificil să obțineți o autorizație.

Mai mult Informatii utile protecția informațiilor și acordarea de licențe pentru astfel de activități sunt conținute în acest videoclip:

Licențiere pentru securitatea informațiilor. Cum să obțineți o licență fstack? Cerințe pentru obținerea unei licențe fstack

4.3. Monitorizarea conformității cu cerințele și condițiile de licențiere

Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos

Bibliografie

1 . V. Kiyaev, O. Granichin // Securitatea sistemelor informatice // Universitatea Națională Deschisă „INTUIT” * anul 2016 // p. 105-106

2. Snytikov A.A. Licențiere și certificare în domeniul securității informațiilor.-M: Helios ARV, 2012 // pp. 223-224

3. Sistem de certificare a mijloacelor de protecție criptografică a informațiilor: Nr. ROSS RU.0001.030001 din 15 noiembrie 2012.

4.Bumazhkov A. Kirina A. Licențiere și certificare în domeniul securității informațiilor

5. Termeni și definiții în domeniul securității informațiilor Moscova, 2011

Postat pe Allbest.ru

Documente similare

Obligația de a obține permisiunea

Principalele sarcini de licențiere

Documente normative

Obținerea licenței de desfășurare a activităților de protecție a informațiilor

Cererea și locul depunerii documentelor

Condiții

Documente necesare

Etape

Informații utile

Top articole similare