Licencimi në fushën e mbrojtjes së informacionit. Si të merrni një licencë FSTEC? Kërkesat për marrjen e një licence FSTEC

04.04.2019 TV (Smart TV)

Licencimi në fushën e sigurisë së informacionit është një aktivitet që përfshin transferimin ose marrjen e të drejtave për të kryer punë në fushën e sigurisë së informacionit. Politika shtetërore në fushën e licencimit të llojeve të caktuara të veprimtarive dhe garantimit të mbrojtjes së interesave jetike të individit, shoqërisë dhe shtetit përcaktohet me Rezolutë të Qeverisë. Federata Ruse datë 24 dhjetor 1994 Nr. 1418 "Për licencimin e llojeve të caktuara të veprimtarive" (ndryshuar me Rezolutat e Qeverisë së Federatës Ruse datë 05.05.95 Nr. 450, datë 06.03.95 Nr. 549, datë 08.07.95 796, datë 12.10.95 Nr.1001, datë 22.04.97 Nr.462, datë 12.01.97 Nr.1513, shiko edhe rezolutën datë 11.02.02 Nr.135).

Një licencë është një leje për të kryer punë në fushën e sigurisë së informacionit. Licenca lëshohet për lloje të veçanta veprimtarish për tre vjet, pas së cilës riregjistrohet në mënyrën e përcaktuar për lëshimin e licencës.

Licenca lëshohet nëse ndërmarrja që ka aplikuar për licencë ka kushtet për licencim: bazë prodhimi dhe testimi, dokumentacion rregullator dhe metodologjik dhe ka personel shkencor, inxhinierik dhe teknik.

Struktura organizative e sistemit të licencimit shtetëror për veprimtaritë e ndërmarrjeve në fushën e sigurisë së informacionit formohet nga:

· autoritetet shtetërore të licencimit;

· qendrat e licencimit;

· ndërmarrjet aplikante.

Autoritetet shtetërore të licencimit:

· Organizimi i licencimit të detyrueshëm shtetëror të veprimtarive të ndërmarrjeve;

· lëshon licenca shtetërore për ndërmarrjet aplikuese;

· koordinon përbërjen e komisioneve të ekspertëve të përfaqësuar nga qendrat e licencimit;

· të ushtrojë kontroll dhe mbikëqyrje mbi tërësinë dhe cilësinë e punës së kryer nga të licencuarit në fushën e sigurisë së informacionit.

Qendrat e licencës:

· formojnë komisione ekspertësh dhe ia paraqesin përbërjen për miratim drejtuesve të organeve shtetërore të licencimit përkatës, që janë FSTEC dhe FSB;

· planifikojnë dhe kryejnë punë për ekzaminimin e ndërmarrjeve aplikante;

· të kontrollojë tërësinë dhe cilësinë e punës së kryer nga të licencuarit.

Qendrat e licencimit pranë organeve shtetërore të licencimit krijohen me urdhër të drejtuesve të këtyre organeve. Komisionet e ekspertëve formohen nga specialistë të industrive, organeve qeveritare dhe organizatave dhe institucioneve të tjera kompetente në fushën përkatëse të sigurisë së informacionit. Komisionet e ekspertëve krijohen në një ose më shumë fusha të mbrojtjes së informacionit.

Licencimi FSTEC i Rusisë subjekt i:

· certifikimin, testet e certifikimit të mjeteve teknike të mbrojtura të përpunimit të informacionit (TSI), teknike dhe software mbrojtjen, mjetet e monitorimit të efektivitetit të masave të sigurisë së informacionit, mjetet e përpunimit të softuerit, mbrojtjen dhe kontrollin e sigurisë;

· certifikimin e sistemeve të informacionit, sistemeve të automatizuara të kontrollit, sistemeve të komunikimit dhe transmetimit të të dhënave, objekteve të VT-së dhe ambienteve të dedikuara për përputhjen me kërkesat e udhëzimeve dhe dokumenteve rregullatore për sigurinë e informacionit;

· zhvillimi, prodhimi, shitja, instalimi, vënia në punë, instalimi, riparimi, mirëmbajtja e objekteve të mbrojtura të shkencës kompjuterike, mjeteve teknike të mbrojtjes dhe kontrollit të efektivitetit të masave të sigurisë së informacionit, mjeteve të mbrojtura softuerike për përpunimin, mbrojtjen dhe kontrollin e sigurisë së informacionit;

· Kryerja e studimeve speciale mbi TSOI të rrezatimit elektromagnetik të rremë dhe interferencës (PEMIN);

· projektimi i objekteve të mbrojtura.

Organi licencues është përgjegjës për:

· zhvillimi i rregullave, procedurave dhe dokumenteve rregullatore dhe metodologjike për çështjet e licencimit;

· zbatimin e menaxhimit shkencor dhe metodologjik të veprimtarive të licencimit;

· publikim informacionin e nevojshëm për sistemin e licencimit;

· shqyrtimin e kërkesave nga organizatat dhe njësitë ushtarake për dhënien e licencave;

· koordinimin e aplikimeve me njësitë ushtarake përgjegjëse për fushat përkatëse të mbrojtjes së informacionit;

· koordinimin e përbërjes së komisioneve të ekspertëve;

· organizimin dhe kryerjen e provimeve të veçanta;

· marrjen e vendimit për dhënien e licencës;

· dhënien e licencave;

· marrjen e vendimit për pezullimin, rinovimin e licencës ose anulimin e saj;

· mbajtjen e regjistrit të licencave të lëshuara, të pezulluara, të rinovuara dhe të anuluara;

· blerjen, kontabilitetin dhe ruajtjen e formularëve të licencës;

· organizimi i punës së qendrave të certifikimit;

· monitorimin e plotësimit dhe cilësisë së punës së kryer nga të licencuarit.

Në përputhje me nenin 17 të Ligjit Federal të datës 08.08.2001 Nr. 128-FZ "Për licencimin e llojeve të caktuara të aktiviteteve" (ndryshuar nga Ligji Federal i datës 02.07.2005 Nr. 80-FZ), llojet e mëposhtme të aktiviteteve (në fushën e sigurisë së informacionit) janë subjekt i licencimit:

· aktivitete për shpërndarjen e mjeteve të enkriptimit (kriptografike);

· aktivitetet në mirëmbajtjen mjete kriptuese (kriptografike);

· ofrimi i shërbimeve në fushën e enkriptimit të informacionit;

· zhvillimi, prodhimi i mjeteve kriptuese (kriptografike) të mbrojtura duke përdorur mjete enkriptuese (kriptografike) të sistemeve të informacionit, sistemeve të telekomunikacionit;

· aktivitete për zhvillimin dhe (ose) prodhimin e mjeteve për mbrojtjen e informacionit konfidencial; aktivitetet e mbrojtjes teknike informacion konfidencial;

· aktivitete për identifikimin e pajisjeve elektronike të destinuara për marrjen e fshehtë të informacionit në ambiente dhe mjete teknike (me përjashtim të rastit nëse ky aktivitet kryhet për të plotësuar nevojat e një personi juridik ose sipërmarrës individual).

Në kuadrin e llojeve të aktiviteteve në shqyrtim, u nxorën dekrete të veçanta të Qeverisë së Federatës Ruse, duke shpjeguar procedurën e licencimit. Midis tyre:

· Dekret i Qeverisë së Federatës Ruse, datë 26 janar 2006 Nr. 45 "Për organizimin e licencimit të llojeve të caktuara të veprimtarive"; Dekreti i Qeverisë së Federatës Ruse, datë 15 gusht 2006 Nr. 504 "Për licencimin e veprimtarive në mbrojtje teknike informacion konfidencial";

· Dekret i Qeverisë së Federatës Ruse, datë 31 gusht 2006 Nr. 532 "Për licencimin e veprimtarive për zhvillimin dhe (ose) prodhimin e mjeteve për mbrojtjen e informacionit konfidencial";

· Dekret i Qeverisë së Federatës Ruse, datë 23 shtator 2002 Nr. 691 "Për miratimin e rregulloreve për licencimin e llojeve të caktuara të veprimtarive që lidhen me mjetet e kriptimit (kriptografik).

Në përputhje me këto dokumente, të licencuarve u kërkohet që çdo vit t'i paraqesin autoritetit licencues ose qendrës së certifikimit informacion mbi numrin e punimeve të kryera për lloje të veçanta aktivitetesh të përcaktuara në licencë. Të licencuarit janë përgjegjës për plotësinë dhe cilësinë e punës së kryer, duke garantuar sigurinë sekretet shtetërore që u janë besuar gjatë veprimtarive praktike.

Për funksionimin normal të sistemeve të menaxhimit të dokumenteve elektronike (EDM), është e nevojshme të zhvillohen procedura për zgjidhjen e konflikteve të mundshme. Një palë në konflikte të tilla, përveç pjesëmarrësve të EDF dhe kompanisë ofruese, mund të jetë gjithashtu një kompani e zhvillimit të softuerit.

Supozohet se marrëveshja me kompaninë e zhvillimit merr parasysh disponueshmërinë e një kampioni referencë softueri, i cili mund të ruhet vetëm nga kompania ofruese ose nga të gjithë pjesëmarrësit në rrjedhën elektronike të dokumenteve. Kjo kërkon plotësimin e dy kushteve themelore:

duhet të dokumentohet se çdo pjesëmarrës në sistemin EDF (përfshirë kompaninë ofruese) ka instaluar softuer që korrespondon me mostrën e referencës;

ruajtja e mostrave të referencës organizohet në mënyrë të tillë që të përjashtojë mundësinë e ndryshimit të mostrës së referencës së softuerit pa dijeninë e palëve.

Kjo mënyrë mund të sigurohet nga një sistem i disa çelësave publikë.

Sot, kur teknologjitë moderne të informacionit po futen intensivisht në të gjitha sferat e jetës dhe veprimtarisë së shoqërisë, kombëtare dhe si pjesë e saj, siguria ekonomike e shtetit fillon të varet drejtpërdrejt nga sigurimi i sigurisë së informacionit. Kjo është arsyeja pse, për të krijuar garanci për të siguruar qëndrueshmërinë e nevojshme të mjeteve të mbrojtjes së informacionit, shteti merr përgjegjësinë për licencimin e veprimtarive të organizatave të përfshira në mbrojtjen e informacionit dhe certifikimin e mjeteve teknike përkatëse.

Niveli aktual i mbrojtjes kundër kërcënimeve të informacionit të jashtëm në nivel global rrjete të hapura nuk mund të konsiderohet e kënaqshme: Rusisë ende i mungon një strategji gjithëpërfshirëse dhe teknikisht e provuar në këtë fushë. Për të ndryshuar situatën, duhet të zhvillohen dhe zbatohen menjëherë një sërë masash në fushën e legjislacionit dhe standardizimit të mjeteve që sigurojnë sigurinë e informacionit në Rusi. Detyrat prioritare në këtë drejtim përfshijnë:

· miratimin e një ligji të posaçëm, të ngjashëm me “Akti i Sigurisë Kompjuterike” në SHBA, i cili bën përgjegjëse agjenci të caktuara qeveritare për mbështetjen metodologjike të punës në fushën e sigurisë së informacionit;

· Zhvillimi i qasjeve të unifikuara për garantimin e sigurisë për organizatat e profileve, madhësive dhe formave të ndryshme të pronësisë;

· sigurimin e paraqitjes në treg të një numri të mjaftueshëm mjetesh të ndryshme të certifikuara për zgjidhjen e problemeve të sigurisë së informacionit.

Një nga problemet në fushën e mbrojtjes së informacionit në Rusi është mungesa e dokumenteve zyrtare me rekomandime të hollësishme për ndërtimin e sistemeve të sigurta të informacionit të ngjashëm me ato të zhvilluara, për shembull, nga Instituti Amerikan i Teknologjisë Standarde (SHBA) dhe standardi britanik. Edhe pse nuk ka rregullore në MB që kërkojnë pajtueshmëri standardet shtetërore, rreth 60% e firmave dhe organizatave britanike përdorin vullnetarisht standardin e zhvilluar dhe pjesa tjetër synon të zbatojë rekomandimet e tij në të ardhmen e afërt.

Licencimi dhe certifikimi në fushën e sistemeve të sigurisë së informacionit mund të zvogëlojë ashpërsinë e këtij problemi. Është e nevojshme të krijohen garanci për përdoruesin që mjetet e sigurisë së informacionit që ai përdor janë në gjendje të sigurojnë nivelin e kërkuar mbrojtjes. Është licencimi ai që mund të sigurojë që vetëm specialistë të kualifikuar në këtë fushë do të merren me problemin e sigurisë së informacionit dhe produktet që ata krijojnë do të jenë në nivelin e duhur dhe do të mund të kalojnë certifikimin.

Pa certifikim, është e pamundur të vlerësohet nëse një produkt përmban aftësi potencialisht të dëmshme të padokumentuara, prania e të cilave është veçanërisht tipike për shumicën e produkteve të huaja, të cilat në një moment mund të çojnë në keqfunksionime në sistem dhe madje edhe pasoja të pakthyeshme për të. Një shembull tipik i tillë veçori të padokumentuaraështë përcaktuar nga Ericsson gjatë zhvillimit të tij centralet telefonike, mbi bazën e së cilës Ministria e Hekurudhave të Federatës Ruse ndërton rrjetin e saj telefonik, aftësinë për të bllokuar funksionimin e tyre kur merr një telefonatë të caktuar numër telefoni, të cilin firma nuk pranon ta emërojë. Dhe ky shembull nuk është i vetmi.

Procesi i certifikimit të një produkti softuer zgjat afërsisht të njëjtën kohë me zhvillimin e tij dhe është praktikisht i pamundur pa kodet burimore të programeve me komente. Në të njëjtën kohë, shumë kompani të huaja nuk duan të përfaqësojnë tekstet burimore produktet e tyre softuerike në qendrat ruse të certifikimit. Për shembull, pavarësisht marrëveshjes në parim Microsoft certifikimi në Rusi i sistemit operativ Windows NT, në të cilin tashmë janë identifikuar më shumë se 50 gabime të lidhura me sigurinë, kjo çështje nuk ka qenë në gjendje të ecë përpara për shumë muaj për shkak të mungesës së kodeve të saj burimore.

Vështirësitë me certifikimin çojnë në faktin se midis produkteve të së njëjtës klasë, më të thjeshtat marrin një certifikatë fillimisht, prandaj ato duken më të besueshme për përdoruesit. Periudhat e gjata të certifikimit çojnë në faktin se kompania e zhvillimit ka kohë të sjellë një version të ri të produktit të saj në treg dhe procesi bëhet i pafund.

Certifikimi i mjeteve teknike të sigurisë së informacionit është i vështirë për t'u kryer pa standarde të përshtatshme, krijimi i të cilave në Rusi pengohet jo pak nga mungesa e burimeve financiare. Ky problem mund të zgjidhet nëse ka disa firma të interesuara për shitje dhe disa organizata të interesuara për të përdorur mjetet e duhura teknike. Për shembull, fryti i përpjekjeve të përbashkëta të këtyre organizatave, firmave dhe FSTEC (ish Komisioni Teknik Shtetëror (STC)) ishte zhvillimi i Materialit Teknik Udhëheqës të Komitetit Shtetëror të Doganave të Federatës Ruse "Objektet kompjuterike. Muret e zjarrit. Mbrojtja kundër aksesit të paautorizuar në informacion. Treguesit e sigurisë kundër aksesit të paautorizuar në informacion." Ai bëri të mundur klasifikimin e mjeteve që janë të afta, në një farë mase, të mbrojnë rrjetet e korporatave nga ndërhyrjet e jashtme.

Dokumenti supozon ekzistencën e disa klasave të mureve të zjarrit: nga më të thjeshtat, që lejojnë vetëm kontrollin e rrjedhave të informacionit, deri tek më komplekset, duke kryer rikodimin e plotë të informacionit në hyrje, duke mbrojtur plotësisht rrjetin e korporatës nga ndikimet e jashtme. Tashmë sot certifikimi për pajtueshmërinë Specifikimet teknike, zhvilluar në përputhje me Udhëzimet material teknikçfarë lejohet legjislacionin aktual, kaloi i tillë muret e zjarrit, si Sun Screen, SKIPbridge dhe Pandora. Megjithatë, certifikimi i tyre nuk ishte pa luftë.

Duke marrë parasysh kërkesat e sigurisë së informacionit dhe praktikës botërore në fushën e sigurisë së informacionit, duket e përshtatshme që Rusia të bashkohet me sistemet ekzistuese të standardizimit ndërkombëtar dhe certifikimit të teknologjive të informacionit, që në praktikë do të thotë:

· sjelljen e standardeve kombëtare dhe të industrisë në përputhje me ato ndërkombëtare;

· Pjesëmarrja e përfaqësuesve rusë në sistemet ndërkombëtare të certifikimit (përfshirë testet e certifikimit);

· mundësia e njohjes së certifikatave ndërkombëtare në Rusi.

Për më tepër, në përputhje me legjislacionin aktual, çdo organizatë e angazhuar në mbledhjen dhe përpunimin e të dhënave personale (për shembull, transaksionet me karta plastike) duhet të ketë licencë për t'u përfshirë në aktivitete të tilla dhe të përdorë mjete të certifikuara për këtë.

FSTEC i Rusisë (ish-Komisioni Teknik Shtetëror) ka zhvilluar kuadrin e nevojshëm rregullator në fushën e mbrojtjes së informacionit nga aksesi i paautorizuar. Le të shqyrtojmë strukturën e dokumenteve kryesore qeverisëse.

1. « Mbrojtje kundër aksesit të paautorizuar në informacion. Termat dhe përkufizimet"– vendos një standard terminologjik uniform në fushën e mbrojtjes së fondeve teknologji kompjuterike dhe sisteme të automatizuara kundër aksesit të paautorizuar në informacion, i cili është i detyrueshëm për përdorim në të gjitha llojet e dokumentacionit.

2. « Koncepti i mbrojtjes së pajisjeve kompjuterike dhe sistemeve të automatizuara nga aksesi i paautorizuar në informacion"– përshkruan parimet bazë mbi të cilat problemi i mbrojtjes së informacionit nga aksesi i paautorizuar dhe marrëdhëniet e tij me problem i përbashkët siguria e informacionit. Koncepti pasqyron çështjet e mëposhtme: përcaktimi i aksesit të paautorizuar, parimet bazë të mbrojtjes, modeli i një ndërhyrës në sistemet e automatizuara, metodat kryesore të aksesit të paautorizuar, drejtimet kryesore të sigurimit të mbrojtjes, karakteristikat kryesore të mjeteve teknike të mbrojtjes, klasifikimi i sistemeve të automatizuara, organizimi i punës mbrojtëse. Ky koncept është menduar për klientët, zhvilluesit dhe përdoruesit e teknologjisë kompjuterike dhe sistemeve të automatizuara, qëllimi kryesor i të cilave është përpunimi, ruajtja dhe transmetimi i informacionit të mbrojtur.

3. “Mjetet e sigurisë së informacionit. Mbrojtja e informacionit në arkat dhe sistemet e automatizuara të arkës. Klasifikimi i kasave, sistemeve të automatizuara të parave dhe kërkesat për mbrojtjen e informacionit"– përcakton klasifikimin e kasave, sistemeve të automatizuara të arkës, teknologjive të informacionit dhe kërkesave për mbrojtjen e informacionit të lidhur me taksat. Në përputhje me këtë dokument, krijohen 2 klasa të kasave, sistemet e automatizuara të parave dhe teknologjia e informacionit. Klasa e parë përfshin sisteme që përpunojnë informacione për flukset e parave në shumën deri në 350 paga minimale në ditë, dhe e dyta - në shumën mbi 350 paga minimale.

4. “Ambjente kompjuterike. Mbrojtje kundër aksesit të paautorizuar në informacion. Treguesit e sigurisë kundër aksesit të paautorizuar në informacion"– rregullon kërkesat për sigurinë e pajisjeve kompjuterike nga aksesi i paautorizuar, i aplikuar në softuer në të gjithë sistemin dhe sistemet operative. Janë shtatë klasa sigurie, të cilat ndahen në katër grupe. Çdo klasë përmban një listë mekanizmash të nevojshëm për zbatimin e mbrojtjes së informacionit nga aksesi i paautorizuar.

5. “Sistemet e automatizuara. Mbrojtje kundër aksesit të paautorizuar në informacion. Klasifikimi i sistemeve të automatizuara dhe kërkesat për mbrojtjen e informacionit"– klasifikon sistemet e automatizuara në varësi të pranisë së informacionit në to të niveleve të ndryshme të konfidencialitetit, niveleve të autoritetit të subjekteve të aksesit, mënyrave të përpunimit të të dhënave në nëntë klasa dhe përcakton një sërë kërkesash për secilën prej tyre. Në varësi të karakteristikave të përpunimit të informacionit në sistemet e automatizuara, klasat ndahen në tre grupe.

6. “Teknologji kompjuterike. Firewalls. Mbrojtje kundër aksesit të paautorizuar në informacion. Treguesit e sigurisë kundër aksesit të paautorizuar në informacion"– deklaron kërkesat për klasa të ndryshme të mureve të zjarrit. Në total, ekzistojnë pesë klasa të sigurisë së murit të zjarrit. Klasifikimi bëhet në varësi të klasës së sigurisë së sistemeve të automatizuara, për mbrojtjen e të cilave përdoret një mur zjarri.

Bazuar në dokumentet qeverisëse dhe kuadrin rregullator të FSTEC të Rusisë, kryhet zhvillimi, certifikimi dhe përdorimi i mjeteve për mbrojtjen e informacionit nga aksesi i paautorizuar, si dhe licencimi i ndërmarrjeve për të drejtën për të vepruar në fushën e mbrojtjes së informacionit në territorin e Federatës Ruse.

Licencimi i aktiviteteve për mbrojtjen teknike të informacionit konfidencial kryhet nga FSTEC i Rusisë. Për të marrë një licencë, aplikanti duhet të plotësojë kërkesat dhe kushtet e mëposhtme:

disponueshmëria e specialistëve me arsim të lartë arsimin profesional në fushën e sigurisë së informacionit teknik ose arsimit të lartë ose të mesëm profesional (teknik) dhe ata që kanë kryer rikualifikim ose trajnim të avancuar në çështjet e sigurisë së informacionit teknik;
disponueshmëria e ambienteve për aplikantin e licencës për të kryer aktivitete të licencuara që përputhen me standardet teknike dhe kërkesat për mbrojtjen teknike të informacionit të përcaktuara nga aktet ligjore rregullatore të Federatës Ruse dhe në pronësi të tij ose saj me të drejtë pronësie ose ndryshe ligjërisht;
prania, mbi çdo bazë ligjore, e pajisjeve të prodhimit, testimit dhe kontrollit që i janë nënshtruar verifikimit (kalibrimit), shënimit dhe certifikimit metrologjik në përputhje me legjislacionin e Federatës Ruse;
përdorimi i sistemeve të automatizuara që përpunojnë informacione konfidenciale, si dhe mjetet për mbrojtjen e informacionit të tillë që kanë kaluar procedurën e vlerësimit të konformitetit (të certifikuar dhe (ose) të certifikuar sipas kërkesat e sigurisë informacion) në përputhje me legjislacionin e Federatës Ruse;
përdorimi i programeve për kompjuterë elektronikë dhe bazave të të dhënave të destinuara për kryerjen e aktiviteteve të licencuara në bazë të një marrëveshjeje me mbajtësin e të drejtave të autorit të tyre;
disponueshmëria e akteve ligjore rregullatore, dokumenteve normative, metodologjike dhe metodologjike për çështjet e mbrojtjes së informacionit teknik, në përputhje me listën e vendosur nga Shërbimi Federal për Kontrollin Teknik dhe Eksport

Për të marrë një licencë, aplikanti dërgon në FSTEC dokumentet e diskutuara në pjesën e mëparshme të këtij leksioni. Përveç këtyre dokumenteve, aplikanti duhet të paraqesë sa vijon:

kopjet e dokumenteve që konfirmojnë kualifikimet e specialistëve të sigurisë së informacionit (diploma, certifikata, certifikata);
kopjet e dokumenteve që konfirmojnë pronësinë, të drejtën e administrimit ekonomik ose menaxhimin operativ të objekteve të destinuara për kryerjen e veprimtarive të licencuara, ose kopjet e marrëveshjeve të qirasë për këto ambiente ose përdorimin e lirë të tyre;
kopjet e certifikatave të konformitetit të ambienteve të mbrojtura kërkesat e sigurisë informacion;
kopje pasaportë teknike sistem i automatizuar me aplikime, një akt klasifikimi i një sistemi të automatizuar sipas kërkesat e sigurisë informacion, plan plani për pajisjet dhe sistemet teknike kryesore dhe ndihmëse, certifikatën e konformitetit të sistemit të automatizuar kërkesat e sigurisë informacion ose certifikatën e konformitetit sistem i automatizuar kërkesat e sigurisë informacion, si dhe një listë të burimeve të mbrojtura në sistemet e automatizuara me dëshmi dokumentare të shkallës së konfidencialitetit të secilit burim, përshkrim procesi teknologjik përpunimi i informacionit në një sistem të automatizuar;
kopjet e dokumenteve që konfirmojnë të drejtën për programet kompjuterike dhe bazat e të dhënave të përdorura për të kryer aktivitete të licencuara;
informacion mbi disponueshmërinë e pajisjeve të prodhimit dhe kontrollit, mjetet e sigurisë së informacionit dhe fondet kontrollin e sigurisë informacionin e nevojshëm për kryerjen e aktiviteteve të licencuara, bashkëngjitur kopjet e dokumenteve për verifikimin e pajisjeve të kontrollit dhe matjes;
informacion në lidhje me aktet ligjore rregullatore, dokumentet rregullatore dhe metodologjike dhe metodologjike në dispozicion të aplikantit për licencë për çështjet e sigurisë së informacionit teknik

FSTEC kontrollon plotësinë e dokumenteve të ofruara, plotësinë dhe saktësinë e informacionit të specifikuar në to. Nëse mungon ndonjë informacion (dokument), FSTEC njofton aplikantin për këtë brenda 15 ditëve. Brenda një periudhe jo më të gjatë 45 ditë pas marrjes së dokumenteve nga aplikanti, FSTEC merr vendim për dhënien e licencës. Vendimi zyrtarizohet me aktin përkatës të FSTEC.

Licenca lëshohet për 5 vite, dhe pas përfundimit të kësaj periudhe mund të zgjatet me kërkesë të të licencuarit.

4.3. Monitorimi i përputhshmërisë me kërkesat dhe kushtet e licencës

Funksioni i monitorimit të përputhshmërisë së të licencuarit me kërkesat dhe kushtet e licencimit kryhet nga autoriteti licencues, domethënë në rastin e mbrojtjes teknike të informacionit konfidencial - FSTEC. Metoda e kontrollit është inspektime të planifikuara dhe të paplanifikuara, të cilat kryhen në mënyrën e përcaktuar me Ligjin Federal Nr. 294 "Për mbrojtjen e të drejtave të personave juridikë dhe sipërmarrësve individualë në ushtrimin e kontrollit shtetëror (mbikëqyrjes) dhe kontrollit komunal".

Qëllimi i inspektimit të planifikuar është të verifikojë përputhshmërinë e të licencuarit me kërkesat dhe kushtet e licencimit në procesin e kryerjes së aktiviteteve për mbrojtjen teknike të informacionit konfidencial. Në lidhje me një person juridik ose sipërmarrës individual, mund të kryhet jo më shumë se një herë brenda tre viteve. Inspektimet e planifikuara kryhen në përputhje me planin vjetor të inspektimit, i cili publikohet në faqen zyrtare të FSTEC të Rusisë.

I licencuari përfshihet në inspektimin e planifikuar nëse kanë kaluar tre vjet nga data e:

regjistrimi shtetëror i licencuari;
përfundimi i inspektimit të fundit të planifikuar të të licencuarit.

I licencuari njoftohet jo më vonë se tre ditë pune para inspektimit.

Subjekti i një inspektimi të paplanifikuar është respektimi i të licencuarit me kërkesat dhe kushtet e licencimit, respektimi i urdhrave për eliminimin e shkeljeve të identifikuara dhe zbatimi i masave për garantimin e sigurisë së shtetit.

Arsyet për kryerjen e një kontrolli të paplanifikuar janë:

skadimi i afatit për ekzekutimin e një urdhri të lëshuar më parë për të licencuarin për të eliminuar shkeljen e identifikuar të kërkesave dhe kushteve të licencimit;
marrja nga FSTEC e Rusisë të kërkesave dhe aplikimeve nga qytetarët, personat juridikë, sipërmarrësit individualë, informacionet nga organet qeveritare, qeveritë lokale, nga fondet masmedia në lidhje me faktet e mëposhtme:
- shfaqja e një kërcënimi të dëmtimit të sigurisë së shtetit;
- duke dëmtuar sigurinë e shtetit.

Inspektimet e planifikuara dhe të paplanifikuara kryhen në formë dokumentare ose në vend. Verifikimi dokumentar kontrollon dokumentet e të licencuarit dhe kryhet në vendndodhjen e FSTEC. Gjatë kontrollit në vend, kontrollohen jo vetëm dokumentet e të licencuarit, por edhe përputhshmëria e tij. kërkesat e licencimit dhe kushtet.

Kohëzgjatja e çdo inspektimi nuk mund të kalojë 20 ditë pune. Në bazë të rezultateve të inspektimit, përpilohet një raport në dy kopje, të cilit i bashkëlidhen protokollet (përfundimet) e studimeve (testeve) dhe ekzaminimeve të kryera.

Për ta përmbledhur, mund të themi se procesi i marrjes së licencës për mbrojtjen teknike të informacionit konfidencial është shumë i mundimshëm, i gjatë dhe, së fundi, por jo më pak i rëndësishëm, i kushtueshëm, sepse për të marrë një licencë është e nevojshme të plotësohen të gjitha kërkesat e licencës dhe kushtet. Trajnimi më i gjatë për specialistët është në kurset e trajnimit të avancuar. Pavarësisht se numri i organizatave që merren me informacion konfidencial është mjaft i madh, jo secila prej tyre mund të përballojë specialistë me arsim të lartë profesional në fushën e teknologjisë së informacionit. Kurset private të avancuara të trajnimit të miratuara nga FSTEC zakonisht janë të dizajnuara për 72 orë. Kërkesa më e kushtueshme në aspektin ekonomik është certifikimi i objekteve të informatizimit (sisteme të automatizuara dhe ambiente të sigurta) të destinuara për përpunimin e informacionit konfidencial. Për më tepër, lind problemi i blerjes së pajisjeve të kontrollit dhe matjes, të cilat pas certifikimit nuk nevojiten fare, përveç nëse organizata synon të ofrojë shërbime për certifikimin e objekteve të informatizimit. Një opsion alternativ është marrja me qira e pajisjeve të tilla, por edhe kjo kushton para. Kështu, kohëzgjatja e procesit të licencimit mund të zgjasë nga 2 deri në 6 muaj dhe të sjellë kosto të konsiderueshme materiale. Një opsion për të zgjidhur këtë problem është kontraktimi i jashtëm. Outsourcing (nga anglishtja outsourcing) fjalë për fjalë do të thotë "përdorimi i burimeve të jashtme". Transferimi përfshin transferimin nga kompania e klientit në një organizatë të palës së tretë (kontraktor) të funksioneve të caktuara të aktiviteteve statutore, për shembull, mbrojtja teknike e informacionit konfidencial. Në këtë rast, kontraktori përdor softuerin e tij, mjetet teknike dhe të tjera të mbrojtjes, licencat, certifikatat etj., si dhe është përgjegjës për rezultatin e punës së tij.

Dërgoni punën tuaj të mirë në bazën e njohurive është e thjeshtë. Përdorni formularin e mëposhtëm

Studentët, studentët e diplomuar, shkencëtarët e rinj që përdorin bazën e njohurive në studimet dhe punën e tyre do t'ju jenë shumë mirënjohës.

Postuar ne http://www.allbest.ru/

Ministria e Transportit e Federatës Ruse

Buxheti federal i Agjencisë Federale për Transportin Hekurudhor institucion arsimor arsimin e lartë profesional

"Lindja e Largët Universiteti Shtetëror mënyrat e komunikimit"

Departamenti i Ligjit Civil, Biznes dhe Transport

Disiplina: Mbështetja ligjore e sigurisë së informacionit

Tema: Licencimi dhe certifikimi në fushën e sigurisë së informacionit

Plotësuar nga studenti

Nepomnyashchaya Natalya Evgenievna

Kontrolluar nga: mësuesi i departamentit:

Zheleznyakov Anatoly Mikhailovich.

Khabarovsk

Prezantimi

1. Licencimi në fushën e sigurisë së informacionit

1.1 Autoriteti licencues - FSTEC i Rusisë

1.2 Autoriteti licencues - FSB i Rusisë

2. Certifikimi në fushën e sigurisë së informacionit

2.1 Struktura organizative sistemet e certifikimit

2.2 Procedura e certifikimit

konkluzioni

Bibliografi

Prezantimi

Një nga problemet në fushën e sigurisë së informacionit në Rusi është mungesa e dokumenteve zyrtare me rekomandime të hollësishme për ndërtimin e sigurisë sistemet e informacionit, të ngjashme me ato të zhvilluara, për shembull, nga Instituti Amerikan i Teknologjisë Standarde (SHBA) dhe standardi britanik. Megjithëse nuk ka rregullore në Mbretërinë e Bashkuar që kërkojnë përputhje me standardet e qeverisë, rreth 60% e firmave dhe organizatave britanike përdorin vullnetarisht standardin e zhvilluar, dhe pjesa tjetër synojnë të zbatojnë rekomandimet e tij në të ardhmen e afërt.

Licencimi dhe certifikimi në fushën e sistemeve të sigurisë së informacionit mund të zvogëlojë ashpërsinë e këtij problemi. Është e nevojshme t'i jepet përdoruesit garanci se mjetet e sigurisë së informacionit që ata përdorin janë në gjendje të ofrojnë nivelin e kërkuar të mbrojtjes. Është licencimi ai që mund të sigurojë që vetëm specialistë të kualifikuar në këtë fushë do të merren me problemin e sigurisë së informacionit dhe produktet që ata krijojnë do të jenë në nivelin e duhur dhe do të mund të kalojnë certifikimin.

Pa certifikim, është e pamundur të vlerësohet nëse një produkt përmban aftësi potencialisht të dëmshme të padokumentuara, prania e të cilave është veçanërisht tipike për shumicën e produkteve të huaja, të cilat në një moment mund të çojnë në keqfunksionime në sistem dhe madje edhe pasoja të pakthyeshme për të. Një shembull tipik i aftësive të tilla të padokumentuara është ai i përcaktuar nga Ericsson gjatë zhvillimit të centraleve telefonike, mbi bazën e të cilit Ministria e Hekurudhave të Federatës Ruse ndërton rrjeti telefonik, aftësia për të bllokuar punën e tyre kur merrni një telefonatë nga një numër telefoni specifik, të cilin kompania refuzon ta emërojë. Dhe ky shembull nuk është i vetmi.

Procesi i certifikimit të një produkti softuer zgjat afërsisht të njëjtën kohë me zhvillimin e tij dhe është praktikisht i pamundur pa kodet burimore të programeve me komente. Në të njëjtën kohë, shumë kompani të huaja nuk duan të japin kodet burimore të tyre produkte softuerike në qendrat ruse të certifikimit. Për shembull, pavarësisht marrëveshjes në parim të Microsoft për të certifikuar sistemin operativ Windows NT në Rusi, në të cilin tashmë janë identifikuar më shumë se 50 gabime të lidhura me sigurinë, kjo çështje nuk ka qenë në gjendje të ecë përpara për shumë muaj për shkak të mungesës së saj. Kodi i burimit.

Dokumenti supozon ekzistencën e disa klasave të mureve të zjarrit: nga më të thjeshtat, që lejojnë vetëm kontrollin e rrjedhave të informacionit, deri tek më komplekset, duke kryer rikodimin e plotë të informacionit në hyrje, duke mbrojtur plotësisht rrjetin e korporatës nga ndikimet e jashtme. Tashmë sot, mure të tilla mbrojtëse si Sun Screen, SKIPbridge dhe Pandora janë certifikuar për pajtueshmërinë me specifikimet teknike të zhvilluara në përputhje me Materialin Udhëzues Teknik, i cili lejohet nga legjislacioni aktual. Megjithatë, certifikimi i tyre nuk ishte pa luftë.

1. Licencimi në fushën e sigurisë së informacionit

1.1 Autoriteti licencues - FSTEC i Rusisë

Kërkesat e licencimit për një aplikant për licencë për të kryer aktivitete për zhvillimin dhe prodhimin e SZKI (në tekstin e mëtejmë referuar si licencë) janë:

1. prania në personelin e aplikantit për licencë të të paktën dy specialistëve që kanë një arsim të lartë profesional në fushën e sigurisë së informacionit teknik ose një arsim të lartë teknik ose të mesëm profesional (teknik) dhe kanë kryer rikualifikim ose trajnim të avancuar në zhvillim. dhe (ose) prodhimi i sigurisë së informacionit; specialist i garancisë për mbrojtjen e përdoruesit

2. disponueshmëria e ambienteve për ushtrimin e llojit të veprimtarisë së licencuar që plotësojnë kërkesat e dokumentacionit teknik dhe teknologjik, standardeve kombëtare dhe dokumenteve metodologjike në OZI dhe i përkasin aplikantit për licencë në të drejtën e pronësisë ose në bazë tjetër ligjore;

3. disponueshmëria, në të drejtën e pronësisë ose mbi një bazë tjetër ligjore, të pajisjeve kontrolluese dhe matëse të nevojshme për kryerjen e llojit të veprimtarisë së licencuar (që ka kaluar verifikimin (kalibrimin) metrologjik dhe shënimin në përputhje me legjislacionin e Federatës Ruse) , pajisjet e prodhimit dhe testimit;

4. disponueshmërinë e programeve të destinuara për zbatimin e llojit të aktivitetit të licencuar (përfshirë softuerin për zhvillimin e SZKI) për kompjuterët elektronikë dhe bazat e të dhënave në pronësi të aplikantit për licencë mbi të drejtën e pronësisë ose mbi bazën tjetër ligjore;

5. disponueshmëria e licencave në pronësi të aplikantit mbi të drejtën e pronësisë ose mbi një bazë tjetër ligjore, dokumentacioni teknik dhe teknologjik, dokumentacioni që përmban standardet kombëtare dhe dokumentet metodologjike të nevojshme për kryerjen e llojit të veprimtarisë së licencuar në përputhje me listën e miratuar nga FSTEC i Rusisë;

6. prania e një sistemi të kontrollit të prodhimit, duke përfshirë rregullat dhe procedurat për kontrollin dhe vlerësimin e sistemit për zhvillimin e SZKI, duke llogaritur ndryshimet e bëra në dizajn dhe dokumentacionin e projektimit për produktet në zhvillim

7. prania e një sistemi të kontrollit të prodhimit, duke përfshirë rregullat dhe procedurat për kontrollin dhe vlerësimin e sistemit të prodhimit SZKI, vlerësimin e cilësisë së produkteve dhe konsistencës vendosni parametrat, duke llogaritur ndryshimet e bëra në dokumentacionin teknik dhe të projektimit për produktet e prodhuara, kontabilitetin për produktet e gatshme V. Kiyaev, O. Granichin // Siguria e sistemeve të informacionit // Universiteti Kombëtar i Hapur "INTUIT" * 2016 // fq. 105-106

1.2 Autoriteti licencues - FSB i Rusisë

Kërkesat e licencimit për një aplikant për licencë janë:

1Personat që aplikanti për licencë ka në staf në punën kryesore sipas tabelës së personelit të personelit të kualifikuar të mëposhtëm:

2. një menaxher dhe (ose) një person i autorizuar për të menaxhuar punën në një lloj aktiviteti të licencuar, që ka një arsim të lartë profesional në fushën e sigurisë së informacionit në përputhje me "Klasifikuesin Gjith-Rus të Specialiteteve" dhe (ose) që i është nënshtruar rikualifikimi në një nga specialitetet e kësaj fushe (periudha normative - mbi 500 orë mësimi), si dhe të ketë të paktën 5 vjet përvojë në fushën e punës së kryer në një lloj veprimtarie të licencuar;

3. Punëtorët inxhinierikë dhe teknikë (të paktën dy persona) të cilët kanë një arsim të lartë profesional në fushën e sigurisë së informacionit në përputhje me "Klasifikuesin Gjith-Rus të Specialiteteve" dhe (ose) i janë nënshtruar rikualifikimit në këtë specialitet (periudha normative - mbi 100 orë në klasë);

4. disponueshmëria e ambienteve për ushtrimin e llojit të veprimtarisë së licencuar që plotësojnë kërkesat e dokumentacionit teknik dhe teknologjik, standardeve kombëtare dhe dokumenteve metodologjike në fushën e pronësisë industriale dhe në pronësi të aplikantit për licencë mbi të drejtën e pronësisë ose mbi një bazë tjetër ligjore. ;

5. aplikanti për licencë ka, në të drejtën e pronësisë ose në një bazë tjetër ligjore, pajisje kontrolli dhe matëse (të cilat i janë nënshtruar verifikimit (kalibrimit) metrologjik dhe shënjimit në përputhje me legjislacionin e Federatës Ruse), pajisje prodhimi, testimi dhe të tjera. objektet e nevojshme për zbatimin e llojit të veprimtarisë së licencuar;

6. disponueshmërinë e programeve të destinuara për zbatimin e llojit të aktivitetit të licencuar (përfshirë softuerin për zhvillimin e SZKI) për kompjuterët elektronikë dhe bazat e të dhënave në pronësi të aplikantit për licencë mbi të drejtën e pronësisë ose mbi një bazë tjetër ligjore;

7. disponueshmëria e mjeteve të përpunimit të informacionit të certifikuara sipas kërkesave të sigurisë së informacionit, të përdorura për zhvillimin dhe prodhimin e sistemeve të mbrojtjes së informacionit, në përputhje me kërkesat e mbrojtjes së informacionit;

8. prania e një sistemi të kontrollit të prodhimit, duke përfshirë rregullat dhe procedurat për kontrollin dhe vlerësimin e sistemit për zhvillimin e SZKI, duke marrë parasysh ndryshimet e bëra në dokumentacionin e projektimit dhe projektimit për produktet që zhvillohen

9. prania e një sistemi të kontrollit të prodhimit, duke përfshirë rregullat dhe procedurat për kontrollin dhe vlerësimin e sistemit të prodhimit SZKI, vlerësimin e cilësisë së produkteve të prodhuara dhe qëndrueshmërinë e parametrave të vendosur, duke llogaritur ndryshimet e bëra në dokumentacionin teknik dhe të projektimit për produktet e prodhuara; kontabiliteti i produkteve të gatshme Snytikov A.A. Licencimi dhe certifikimi në fushën e sigurisë së informacionit.-M: Gelios ARV, 2012 // fq. 223-224

2. Certifikimi i Sigurisë së Informacionit

2.1 Struktura organizative e sistemit të certifikimit

Struktura organizative e sistemit të certifikimit formohet nga:

1. Komisioni Teknik Shtetëror i Rusisë (organ federal për certifikimin e mjeteve të sigurisë së informacionit);

2. organi qendror i sistemit të certifikimit të sigurisë së informacionit;

3. organet për certifikimin e mjeteve të sigurisë së informacionit;

4. qendrat e testimit (laboratorë);

5. aplikantët (zhvilluesit, prodhuesit, furnitorët, konsumatorët e produkteve të sigurisë së informacionit).

2 Komisioni Shtetëror Teknik i Rusisë, brenda kompetencës së tij, kryen funksionet e mëposhtme:

1. krijon një sistem certifikimi për mjetet e sigurisë së informacionit dhe vendos rregullat për certifikimin e llojeve të veçanta të mjeteve të sigurisë së informacionit në këtë sistem;

2.organizon funksionimin e sistemit të certifikimit të mjeteve të sigurisë së informacionit;

3. përcakton një listë të mjeteve të mbrojtjes së informacionit që i nënshtrohen certifikimin e detyrueshëm në këtë sistem;

4. përcakton rregullat për akreditimin dhe dhënien e licencave për kryerjen e punëve certifikuese;

5.organizon dhe financon zhvillimin e dokumenteve rregullatore dhe metodologjike për sistemin e certifikimit të mjeteve të sigurisë së informacionit;

6. përcakton organin qendror të sistemit të certifikimit të sigurisë së informacionit (nëse është e nevojshme) ose kryen funksionet e këtij organi;

7. miraton dokumentet rregullatore për sigurinë e informacionit, për pajtueshmërinë me të cilat kryhet certifikimi i mjeteve të sigurisë së informacionit në sistem, dhe dokumentet metodologjike për kryerjen e testeve të certifikimit;

8. akrediton organet certifikuese dhe qendrat e testimit (laboratorë), u lëshon licenca për kryerjen e disa llojeve të punës;

9.udhëheq Regjistri Shtetëror pjesëmarrësit dhe objektet e certifikimit;

10. kryen kontrollin dhe mbikëqyrjen shtetërore dhe vendos procedurën për kontrollin inspektues për respektimin e rregullave të certifikimit dhe mjeteve të certifikuara të sigurisë së informacionit;

11. shqyrton ankesat lidhur me çështjet e certifikimit;

12. paraqet një sistem certifikimi dhe një shenjë konformiteti për regjistrim shtetëror në Gosstandart të Rusisë;

13. organizon publikimin periodik të informacionit për certifikimin;

14. ndërvepron me përkatëse organet e autorizuara vende të tjera dhe organizata ndërkombëtare për çështjet e certifikimit, merr vendime për njohjen e certifikatave ndërkombëtare dhe të huaja;

15.organizon trajnimin dhe certifikimin e ekspertëve auditues;

16. lëshon certifikata dhe licenca për përdorimin e markës së konformitetit;

17.pezullon ose anulon vlefshmërinë e certifikatave të lëshuara.

2.2 Procedura e certifikimit

Procedura e certifikimit përfshin hapat e mëposhtëm:

paraqitjen dhe shqyrtimin e një aplikacioni për certifikimin e mjeteve të sigurisë së informacionit; testimin e mjeteve të certifikuara të sigurisë së informacionit dhe certifikimin e prodhimit të tyre;

ekzaminimi i rezultateve të testimit, regjistrimi, regjistrimi dhe lëshimi i certifikatës dhe licencës për të drejtën e përdorimit të markës së konformitetit;

zbatimi i kontrollit dhe mbikëqyrjes shtetërore, kontrolli inspektues mbi respektimin e rregullave të certifikimit të detyrueshëm dhe mjeteve të certifikuara të sigurisë së informacionit.

informimi për rezultatet e certifikimit të mjeteve të sigurisë së informacionit;

shqyrtimi i ankesave.

Paraqitja dhe shqyrtimi i një aplikacioni për certifikimin e mjeteve të sigurisë së informacionit.

Për të marrë një certifikatë, aplikanti paraqet një kërkesë (Shtojca 1) në Komisionin Teknik Shtetëror të Rusisë për testim, duke treguar skemën e certifikimit, standardet dhe dokumentet e tjera rregullatore për pajtueshmërinë me kërkesat e të cilave duhet të kryhet certifikimi.

Komisioni Shtetëror Teknik i Rusisë, brenda një muaji pas marrjes së aplikimit, i dërgon aplikantit, organit të certifikimit dhe qendrës së testimit (laboratorit) të caktuar për certifikim, një vendim për të kryer certifikimin (Shtojca 2). Me kërkesë të aplikantit, organi i certifikimit dhe qendra e testimit (laboratori) mund të ndryshohen.

Pas marrjes së vendimit, aplikanti është i detyruar të paraqesë pranë organit të certifikimit dhe qendrës së testimit (laboratorit) një pajisje sigurie informacioni në përputhje me specifikimet teknike për këtë produkt, si dhe një grup dokumentacioni teknik dhe operacional, në përputhje me dokumente rregullatore për ESKD, ESPD për pajisjen e sigurisë së informacionit që po certifikohet.

Testimi i mjeteve të certifikuara të sigurisë së informacionit në qendrat e testimit (laboratorë).

Testet e mjeteve të certifikuara të sigurisë së informacionit kryhen në mostra, dizajni, përbërja dhe teknologjia e prodhimit të të cilave duhet të jenë të njëjta me ato të mostrave të furnizuara për konsumatorin, klientin sipas programeve dhe metodave të testimit të rënë dakord me aplikantin dhe miratuar. organizmi certifikues. Dokumentacioni teknik dhe operacional për mjetet e sigurisë serike të informacionit duhet të ketë një shkronjë jo më të ulët se “O1” (sipas ESKD).

Numri i mostrave, procedura për përzgjedhjen dhe identifikimin e tyre duhet të jetë në përputhje me kërkesat e dokumenteve rregullatore dhe metodologjike për ky lloj mjetet e sigurisë së informacionit.

Nëse nuk ka qendra testimi (laboratorë) në momentin e certifikimit, organi certifikues përcakton mundësinë, vendndodhjen dhe kushtet e testimit për të siguruar objektivitetin e rezultateve të tyre.

Koha e kryerjes së testeve përcaktohet me një marrëveshje ndërmjet aplikantit dhe qendrës së testimit (laboratorit).

Me kërkesë të aplikantit, përfaqësuesve të tij duhet t'u jepet mundësia të njihen me kushtet e ruajtjes dhe testimit të mostrave të mjeteve të sigurisë së informacionit në qendrën e testimit (laborator). Kiyaev V., Granichin O. // Siguria e sistemeve të informacionit // Universiteti Kombëtar i Hapur "INTUIT" * 2016 //fq. 105-106

Rezultatet e testit dokumentohen në protokolle dhe konkluzione, të cilat i dërgohen nga qendra e testimit (laboratori) te organi i certifikimit, dhe në një kopje - tek aplikanti.

Kur bëhen ndryshime në dizajnin (përbërjen) e mjeteve të sigurisë së informacionit ose teknologjinë e prodhimit të tyre, të cilat mund të ndikojnë në karakteristikat e mjeteve të sigurisë së informacionit, aplikanti (zhvilluesi, prodhuesi, furnizuesi) njofton organin e certifikimit për këtë. Ky i fundit vendos për nevojën e kryerjes së testeve të reja të këtyre mjeteve të sigurisë së informacionit.

Certifikimi i mjeteve të sigurisë së informacionit të importuar kryhet sipas të njëjtave rregulla si ato vendase.

konkluzioni

Dhe kështu, kjo është një procedurë e vlerësimit të konformitetit përmes së cilës një organizatë e pavarur nga prodhuesi (shitësi) dhe konsumatori (blerësi) vërteton me shkrim se produkti plotëson kërkesat e përcaktuara. Nëse flasim për certifikimin në lidhje me mjetet e sigurisë së informacionit, atëherë ky është një aktivitet për të konfirmuar përputhjen e tyre me kërkesat e rregulloreve teknike, standardeve kombëtare ose dokumenteve të tjera rregullatore për sigurinë e informacionit.

Vetë sistemi i certifikimit përfaqësohet nga FSTEC i Rusisë, i cili ka juridiksion mbi organet e akredituara për certifikimin e mjeteve të sigurisë së informacionit dhe laboratorëve të testimit.

I gjithë sistemi i certifikimit siguron arritjen, para së gjithash, të sigurisë kombëtare në fushën e informatizimit. Jo më pak i rëndësishëm është formimi dhe zbatimi i një politike të unifikuar shkencore, teknike dhe industriale në fushën e informatizimit. Si dhe nxitja e formimit të një tregu për teknologjitë e sigurta të informacionit dhe mjetet e mbështetjes së tyre, rregullimi dhe kontrolli i zhvillimit, si dhe prodhimi i mëvonshëm i mjeteve të sigurisë së informacionit, asistencë për konsumatorët në zgjedhjen kompetente të mjeteve të sigurisë së informacionit, mbrojtjen e konsumatorit. nga pandershmëria e kontraktorit (prodhuesi, prodhuesi), konfirmimi i treguesve të cilësisë së produkteve.

Licencim - aktivitete që lidhen me dhënien e licencave, rilëshimin e dokumenteve që konfirmojnë disponueshmërinë e licencave, pezullimin dhe rinovimin e licencave, anulimin e licencave dhe monitorimin nga autoritetet licencuese të pajtueshmërisë nga të licencuarit gjatë kryerjes së llojeve të licencuara të aktiviteteve me licencimin përkatës. kërkesat dhe kushtet.

Licencë - një leje e veçantë për të kryer një lloj aktiviteti specifik, që i nënshtrohet respektimit të detyrueshëm me kërkesat dhe kushtet e licencimit, të lëshuar nga një autoritet licencues për një person juridik ose një sipërmarrës individual.

Aktivitetet e licencimit në fushën e sigurisë së informacionit kryhen nga FSB dhe FSTEC e Rusisë. Le të shqyrtojmë llojet e licencuara të aktiviteteve në fushën e mbrojtjes së informacionit konfidencial.

FSB e Rusisë:

1. Zhvillimi dhe (ose) prodhimi i mjeteve për mbrojtjen e informacionit konfidencial (brenda kompetencës së FSB)

2. Zhvillimi, prodhimi, shitja dhe blerja me qëllim të shitjes së mjeteve të posaçme teknike të destinuara për marrjen e fshehtë të informacionit nga sipërmarrës individualë dhe persona juridikë të përfshirë në veprimtari biznesi

3.Aktivitetet identifikuese pajisjet elektronike të destinuara për marrjen e fshehtë të informacionit, në ambiente dhe mjete teknike (me përjashtim të rastit nëse veprimtaria e specifikuar kryhet për të plotësuar nevojat e veta të një personi juridik ose sipërmarrës individual)

4.Aktivitete për shpërndarjen e mjeteve të enkriptimit (kriptografike).

5. Veprimtari për mirëmbajtjen e mjeteve të enkriptimit (kriptografike).

6.Ofrimi i shërbimeve në fushën e enkriptimit të informacionit

7. Zhvillimi dhe prodhimi i mjeteve të enkriptimit (kriptografik), të mbrojtura duke përdorur mjete kriptimi (kriptografike) për sistemet e informacionit dhe sistemet e telekomunikacionit.

Bibliografi

1 . Kiyaev V., Granichin O. // Siguria e sistemeve të informacionit// Universiteti i Hapur Kombëtar "INTUIT" * 2016 //faqe 105-106

2. Snytikov A.A. Licencimi dhe certifikimi në fushën e sigurisë së informacionit.-M: Gelios ARV, 2012 // fq. 223-224

3. Sistemi i certifikimit për mbrojtjen e informacionit kriptografik do të thotë: Nr.ROSS RU.0001.030001 datë 15.11.2012.

4. Bumazhkov A. Kirina A. Licencimi dhe certifikimi në fushën e sigurisë së informacionit

5.Termat dhe përkufizimet në fushën e sigurisë së informacionit.Moskë 2011

Postuar në Allbest.ru

...

Dokumente të ngjashme

Parimet bazë që duhet të sigurojë siguria e informacionit, kuadri rregullator i tij. Organet qeveritare Federata Ruse, kontrollon aktivitetet në fushën e sigurisë së informacionit, dokumentet rregullatore në këtë fushë. Metodat e mbrojtjes së informacionit.

abstrakt, shtuar 24.09.2014

Mjetet dhe metodat për zgjidhjen e problemeve të ndryshme të mbrojtjes së informacionit, parandalimit të rrjedhjeve dhe sigurimit të sigurisë së informacionit të mbrojtur. Mjete teknike (hardware), softuerike, organizative, të përziera harduerike dhe softuerike të sigurisë së informacionit.

abstrakt, shtuar më 22.05.2010

Mbështetje rregullatore dhe ligjore për sigurinë e informacionit në Federatën Ruse. Regjimi ligjor i informacionit. Organet që sigurojnë sigurinë e informacionit të Federatës Ruse. Shërbime që organizojnë sigurinë e informacionit në nivel ndërmarrje. Standardet e sigurisë së informacionit.

prezantim, shtuar 19.01.2014

Metodat kryesore të aksesit të paautorizuar në informacion në sistemet kompjuterike dhe mbrojtje nga ajo. Aktet organizative, ligjore dhe rregullatore ndërkombëtare dhe vendase për të garantuar sigurinë e informacionit të proceseve të përpunimit të informacionit.

abstrakt, shtuar 04/09/2015

Informacioni si pjesa më e rëndësishme e sistemit modern të komunikimit. Rregullimi ligjor në fushën e sigurisë së informacionit. Dokumentet rregullatore që rregullojnë mbrojtjen e informacionit. Format organizative dhe juridike të mbrojtjes së sekretit shtetëror.

test, shtuar 11/03/2009

Rekomandime për zhvillimin e biznesit të vogël. Mbrojtja e të drejtave pronësore, zhvillimi i institucioneve të tregut. Taksat dhe administrimi i tyre. Sistemi i licencimit dhe lejeve. Inspektime, gjoba dhe ndëshkime. Aksesi në informacion dhe hapja e shtetit.

abstrakt, shtuar 31.05.2009

Qëllimet e licencimit në fushën e mbrojtjes mjedisi dhe shfrytëzimin e burimeve natyrore. Lista e llojeve të licencave - dokumente që japin të drejtën e përdorimit të një lloji të burimeve natyrore në vendin e caktuar dhe në kushte të caktuara.

test, shtuar 19.12.2012

Licencimi si institucion i së drejtës civile. Programi qeveritar privatizimi i ndërmarrjeve shtetërore dhe komunale në Rusi. Funksione shërbimi federal mbi mbikëqyrjen në fushën e transportit. Licencimi aktiviteti sipërmarrës.

Koncepti i informacionit, burimet e informacionit, vendi i tyre në të drejtën moderne. Shenjat e informacionit të kufizuar. Regjimi juridik i mbrojtjes që përbën sekret shtetëror, zyrtar, profesional; sigurimin e paaksesueshmërisë për palët e treta.

abstrakt, shtuar më 13.12.2013

Licencimi si formë rregullore qeveritare. Procedura për licencimin e veprimtarive të bankave dhe institucioneve financiare jobankare. Licencimi i aktiviteteve për projektimin dhe ndërtimin e ndërtesave dhe rilevimet inxhinierike.

Licencimi i aktiviteteve për mbrojtjen teknike të informacionit konfidencial

Mbrapa vitet e fundit kuadri rregullator në fushën e sigurisë së informacionit ka formuar mekanizma të kushtueshëm, konfuzë, kontradiktore që nuk marrin parasysh as veçoritë e përpunimit të informacionit konfidencial në fusha të ndryshme të veprimtarisë, as aftësinë e operatorëve për të përmbushur kërkesat e vendosura. Për më tepër, kërkesat për operatorët e sistemeve të informacionit që përpunojnë informacione konfidenciale, përfshirë të dhënat personale, nga FSTEC e Rusisë përfshijnë një mekanizëm të tillë të rregullimit shtetëror si licencimi i aktiviteteve për mbrojtjen teknike të informacionit konfidencial, për zbatimin e të cilit shumica e operatorëve bëjnë. nuk kanë burime të mjaftueshme materiale dhe punëtore. Kjo është veçanërisht e vërtetë për organizatat buxhetore në fushën e arsimit, kujdesit mjekësor dhe sektorit të strehimit dhe shërbimeve komunale. Problemet ligjore lindën për shkak të mungesës në legjislacionin federal të ligjeve për mbrojtjen e informacionit konfidencial, për shembull, sekretet zyrtare, sekretet profesionale, paqartësia e dispozitave, si dhe ndryshimet dhe shtesat e përsëritura të bëra në Ligjin Federal Nr. 152 "Për të dhënat personale". ” dhe akte të tjera rregullatore ligjore. Në të njëjtën kohë, ligjet federale kërkojnë specifikime dhe sqarime të mëtejshme me dekrete të Qeverisë së Federatës Ruse dhe dokumente metodologjike të FSTEC dhe FSB të Rusisë.

Miratimi nga Qeveria e Federatës Ruse të Rezolutës nr. 79 të datës 3 shkurt 2012 "Për licencimin e veprimtarive për mbrojtjen teknike të informacionit konfidencial" me miratimin e "Rregullores për licencimin e aktiviteteve për mbrojtjen teknike të informacionit konfidencial" ( në vijim referuar si Rregullore) dhe anulimi i rezolutës së mëparshme efektive të 15 gushtit 2006 Nr. 504, ngre edhe një herë pyetjen, çfarë ka të re në këtë rregullore dhe a nevojitet një licencë nga FSTEC e Rusisë nëse një organizatë mbron konfidencialet informacion “për nevojat e veta” dhe nuk ofron shërbime për para?

Në përputhje me pikën 1, Rregulloret përcaktojnë procedurën për licencimin e veprimtarive për mbrojtjen teknike të informacionit konfidencial (që nuk përmban informacione që përbëjnë sekret shtetëror, por të mbrojtura në përputhje me legjislacionin e Federatës Ruse), të kryera nga persona juridikë dhe individë. sipërmarrësit.

Dhe pyetja lind menjëherë me termin "informacion konfidencial", i cili jepet në Rregullore dhe përdoret në dokumentet e FSTEC të Rusisë, por mungon në legjislacionin federal. Ligji Federal Nr. 149, datë 27 korrik. 2006" Rreth informacionit teknologjia e informacionit dhe për mbrojtjen e informacionit” në paragrafin 7 të Artit. 2 jep vetëm një përkufizim të konfidencialitetit të informacionit si i detyrueshëm për personin që ka fituar akses në të informacione të caktuara, kërkesa për të mos transferuar një informacion të tillë palëve të treta pa pëlqimin e pronarit të tij. Konfidencialiteti i përkthyer nga latinishtja do të thotë "besim" (d.m.th., duke transmetuar një informacion të tillë, ne shpresojmë për sigurinë dhe mosshpërndarjen e tij, pasi zbulimi i tij mund të shkaktojë dëme të caktuara për palët). Vëmë re se mungesa e qartësisë së termave individualë, si dhe ndonjëherë ndryshimet e pabaza në përkufizime dhe koncepte legjislacioni i informacionit nuk kontribuojnë në përmirësim rregullimi ligjor V sferën e informacionit. Në të njëjtën kohë, FSTEC i Rusisë vazhdon të përdorë termin "informacion konfidencial", të cilin ligjvënësit tashmë e kanë braktisur.

Sipas legjislacionit të Federatës Ruse, tiparet e detyrueshme të informacionit me akses të kufizuar duhet të jenë:

informacioni ka vlerë aktuale ose potenciale për pronarin për shkak të panjohurisë së tij për palët e treta. Persona të tillë mund të jenë shtetërorë, juridikë ose individët;
asnjë informacion në dispozicion akses falas ligjërisht. Mundësia e mbajtjes së saj të panjohur për palët e treta përcaktohet me ligj federal;
pronari i informacionit merr masa për ta mbrojtur atë.

Më 6 mars 1997, Presidenti i Federatës Ruse nxori Dekretin nr. 188, i cili miratoi "Listën e Informacionit Konfidencial", sipas të cilit informacioni i mëposhtëm klasifikohej si informacion konfidencial:

për faktet, ngjarjet dhe rrethanat privatësi një qytetar, duke lejuar identifikimin e identitetit të tij (të dhënat personale), me përjashtim të informacionit që i nënshtrohet shpërndarjes në media në rastet e përcaktuara nga ligjet federale;
që përbën sekretin e hetimit dhe të procedimeve ligjore;
qasja në të cilën është e kufizuar nga autoritetet qeveritare në përputhje me Kodin Civil të Federatës Ruse dhe ligjet federale ( sekret zyrtar);
Të lidhura veprimtari profesionale, qasja në të cilën është e kufizuar në përputhje me Kushtetutën e Federatës Ruse dhe ligjet federale (mjekësore, noteriale, konfidencialiteti avokat-klient, konfidencialiteti i korrespondencës, bisedat telefonike, sendet postare, mesazhe telegrafike ose të tjera, etj.);
lidhur me aktivitetet tregtare, qasja në të cilat është e kufizuar në përputhje me Kodin Civil të Federatës Ruse dhe ligjet federale (sekret tregtar);
për thelbin e një shpikjeje, modeli shërbimi ose modeli industrial përpara publikimit zyrtar të informacionit rreth tyre.

Rezoluta e re sqaron gjithashtu termin "mbrojtje teknike e informacionit konfidencial" (në tekstin e mëtejmë - TZKI), që, në përputhje me pikën 2 të Rregullores, nënkupton:

Kryerja e punës dhe (ose) ofrimi i shërbimeve për ta mbrojtur atë nga aksesi i paautorizuar, nga rrjedhjet kanalet teknike, si dhe nga ndikimet e veçanta mbi një informacion të tillë me qëllim të shkatërrimit, shtrembërimit ose bllokimit të aksesit në të.

Kështu po flasim për qoftë për kryerjen e punës në TZKI, qoftë për ofrimin e shërbimeve në TZKI, qoftë për aktivitete të përbashkëta.

Gjatë kryerjes së aktiviteteve për mbrojtjen teknike të informacionit konfidencial Llojet e mëposhtme të punës dhe shërbimeve janë subjekt i licencimit:

kontroll mbi sigurinë e informacionit konfidencial nga rrjedhja përmes kanaleve teknike në:

- mjetet dhe sistemet e informacionit;

Mjetet (sistemet) teknike që nuk përpunojnë konfidenciale

informacion, por i vendosur në ambientet ku përpunohet;

Lokalet me mjete (sisteme) për t'u mbrojtur;

Lokalet e destinuara për kryerjen e negociatave konfidenciale (në tekstin e mëtejmë: ambiente të mbrojtura);

kontrolli i sigurisë së informacionit konfidencial nga aksesi i paautorizuar dhe modifikimi i tij në mjetet dhe sistemet e teknologjisë së informacionit;
testet e certifikimit për pajtueshmërinë me kërkesat e sigurisë së informacionit për produktet e përdorura për mbrojtjen e informacionit konfidencial (mjetet teknike të mbrojtjes së informacionit, mjetet teknike të mbrojtura të përpunimit të informacionit, mjetet teknike të monitorimit të efektivitetit të masave të mbrojtjes së informacionit, softuerët (softuerët dhe harduerët) mjetet e mbrojtjes së informacionit (në tekstin e mëtejmë IPS) , softuer i mbrojtur (softuer dhe harduer) vegla për përpunimin e informacionit, softuer (softuer dhe harduer) mjete kontrolli të sigurisë së informacionit);
testet e certifikimit dhe certifikimi për pajtueshmërinë me kërkesat e sigurisë së informacionit:

ambiente të mbrojtura;

dizajn i mbrojtur:

- mjetet dhe sistemet e teknologjisë së informacionit;

Lokalet me mjete (sisteme) të teknologjisë së informacionit që i nënshtrohen mbrojtjes;

ambiente të mbrojtura;

instalimi, instalimi, testimi, riparimi i mjeteve të sigurisë së informacionit (informacionet teknike të sigurisë së informacionit, mjetet teknike të mbrojtura të përpunimit të informacionit, mjetet teknike të monitorimit të efektivitetit të masave të mbrojtjes së informacionit, softuerët (softuerët dhe harduerët) mjetet e mbrojtjes së informacionit, softueri i mbrojtur (softueri dhe harduer) mjetet e përpunimit të informacionit, softuerët (softuerët dhe harduerët) mjetet e kontrollit të sigurisë së informacionit).

Në të njëjtën kohë, funksionimi i sistemeve të sigurisë së informacionit, në kontrast me funksionimin e mjeteve mbrojtje kriptografike, ku autoriteti licencues është FSB e Rusisë, nuk zbatohet për llojin e licencuar të aktivitetit. Ky qëndrim i FSTEC të Rusisë ngre pyetje. Pse janë të licencuara vetëm fazat e para në krijimin e një sistemi mbrojtjeje - projektimi i një sistemi mbrojtjeje dhe instalimi i pajisjeve mbrojtëse? Pse puna e përditshme e specialistëve dhe shërbimeve të sigurisë së informacionit për të operuar dhe monitoruar efektivitetin e sistemeve të sigurisë së informacionit nuk i nënshtrohet licencimit? Në fund të fundit, nuk është më pak i rëndësishëm se krijimi i një sistemi mbrojtjeje, pasi objektivat e licencimit të llojeve të caktuara të aktiviteteve janë parandalimi, identifikimi dhe shtypja e shkeljeve nga një person juridik, menaxheri i tij dhe të tjerët. zyrtarët kërkesat e përcaktuara me Ligjin Federal të 4 majit 2011. Nr. 99-FZ "Për licencimin e llojeve të caktuara të veprimtarive", ligje të tjera federale dhe akte të tjera rregullatore ligjore të Federatës Ruse të miratuara në përputhje me to.

Në bazë të paragrafit 1 të Artit. 49 i Kodit Civil të Federatës Ruse, një person juridik mund të angazhohet në lloje të caktuara aktivitetesh, lista e të cilave përcaktohet me ligj, vetëm në bazë të leje speciale(licencat). Llojet e aktiviteteve për të cilat duhet të merret një licencë përcaktohen në Ligjin Federal Nr. 99-FZ, datë 4 maj 2011 "Për licencimin e llojeve të caktuara të aktiviteteve", pika 5 e Artit. 12 prej të cilave përfshijnë ndër këto lloje aktivitete në TZKI.

Koncepti i "shërbimit" nënkupton një lloj kontrate të caktuar (Kapitulli 39, neni 779-783 i Kodit Civil të Federatës Ruse), domethënë një transaksion shumëpalësh në të cilin duhet të ketë një palë tjetër (klauzola 1 e nenit 154 të Kodi Civil i Federatës Ruse). Por koncepti i "punës" nuk përcaktohet në ligj dhe mund të përcaktohet vetëm në bazë të shumë kuptimeve në gjuhën ruse: "profesion, punë, veprimtari".

Kështu, nga formulimi i mësipërm mund të konkludojmë se aktivitetet e TZKI-së si të palëve të treta (“shërbime”) dhe për nevojat e veta (“punë”) janë subjekt i licencimit.

Prandaj, nëse një organizatë, si pjesë e mbrojtjes së informacionit të brendshëm konfidencial, kryen punë për mbrojtjen e saj teknike, kërkohet të marrë një licencë të përshtatshme. Për shembull, për sa i përket mbrojtjes së të dhënave personale, operatori nuk ka “nevoja të veta” për mbrojtjen e tyre dhe nuk mund të ekzistojë me forcën e ligjit. Qëllimi i vetëm i ligjit federal nr. 152 "Për të dhënat personale" është të sigurojë mbrojtjen e të drejtave dhe lirive të njeriut dhe qytetarit gjatë përpunimit të të dhënave të tij personale. Ligji nuk specifikon qëllime të tjera (përfshirë plotësimin e nevojave të operatorëve). Për më tepër, Ligji Federal 99-FZ "Për licencimin e llojeve të caktuara të veprimtarive" përfshin lloje të licencuara aktivitetesh, zbatimi i të cilave mund të sjellë dëmtim të të drejtave, interesave legjitime dhe shëndetit të qytetarëve. Ligji nuk bën dallim ndërmjet interesave të subjektit të të dhënave personale (punonjësit) dhe subjektit të të dhënave personale (palës së tretë) në lidhje me të drejtën kushtetuese të një qytetari për sekretet personale. Ligjvënësi (nëpërmjet institutit të licencimit) mbron çdo subjekt të të dhënave personale nga pasojat e punës me cilësi të dobët në TZKI.

Rregulloret administrative të FSTEC të Rusisë për zbatimin funksioni shtetëror për aktivitetet e licencimit sipas TZKI (më tej referuar si Rregulloret Administrative), miratuar me urdhër të datës 28.08.07. nr 181 s ndryshimet e fundit datë 30 shtator 2011, në përputhje me Urdhrin Nr. 515, përcaktohen koha dhe sekuenca e veprimeve (procedurat administrative) të FSTEC të Rusisë në ushtrimin e kompetencave për licencimin e aktiviteteve sipas TZKI. Aktivitetet e TZKI-së të kryera nga persona juridikë dhe sipërmarrës individualë janë subjekt i licencimit.

Analiza e dispozitave Rregulloret administrative tregon se procedura për marrjen e licencës sipas TZKI kërkon shumë kohë, përpjekje dhe para. Për të marrë një licencë për të vepruar në TZKI, është e nevojshme të konfirmohet aftësia për të përmbushur kërkesat dhe kushtet e licencimit të përcaktuara në Rregullore.

Kërkesat e licencimit për një aplikant për licencë për të kryer aktivitete sipas TZKI janë (klauzola 5 e Rregullores):

a) prania e një personi juridik aplikant për licencë - specialistë në stafin e aplikantit për licencë, të cilët kanë një arsim të lartë profesional në fushën e sigurisë së informacionit teknik ose arsim të lartë teknik ose të mesëm profesional (teknik) dhe kanë pësuar rikualifikim ose trajnim të avancuar në informacionin teknik. çështjet e sigurisë.

b) prania e ambienteve për aplikantin e licencës (të licencës) për kryerjen e veprimtarive të licencuara që përputhen me standardet teknike dhe kërkesat për mbrojtjen teknike të informacionit të përcaktuara nga aktet ligjore rregullatore të Federatës Ruse dhe në pronësi të tij me të drejtë pronësie ose në bazë tjetër ligjore;

c) praninë, mbi çdo bazë ligjore, të pajisjeve të prodhimit, testimit dhe kontrollit që i janë nënshtruar verifikimit (kalibrimit), shënimit dhe certifikimit metrologjik në përputhje me legjislacionin e Federatës Ruse;

d) përdorimin e sistemeve të automatizuara që përpunojnë informacione konfidenciale, si dhe mjetet për mbrojtjen e informacionit të tillë që kanë kaluar procedurën e vlerësimit të konformitetit (të certifikuar dhe (ose) të certifikuar sipas kërkesave të sigurisë së informacionit) në përputhje me legjislacionin e Federatës Ruse;

e) përdorimi i programeve për kompjuterë elektronikë dhe bazave të të dhënave të destinuara për kryerjen e veprimtarive të licencuara në bazë të një marrëveshjeje me mbajtësin e të drejtave të tyre të autorit;

f) disponueshmëria e akteve ligjore rregullatore, dokumenteve normative, metodologjike dhe metodologjike për çështjet e sigurisë së informacionit teknik në përputhje me listën e përcaktuar nga FSTEC e Rusisë.

Siç mund ta shihni, për të përmbushur kërkesat e mësipërme, organizata duhet të ketë të paktën 2 specialistë, të cilët, në disa raste (në mungesë të arsimit të lartë të specializuar), do të kërkojnë trajnimin e tyre në kurse trajnimi të avancuara në kurrikula rënë dakord me FSTEC të Rusisë në një sasi jo më pak se 72 orë. Përveç kësaj, do të kërkohen dokumente rregullatore, duke përfshirë akses i kufizuar, si dhe prania mbi çdo bazë ligjore (në pronësi ose me qira për një periudhë jo më pak se periudha e vlefshmërisë së licencës) e pajisjeve të prodhimit, testimit dhe kontrollit dhe matjes që i janë nënshtruar verifikimit (kalibrimit), markimit dhe certifikimit metrologjik në përputhje me me legjislacionin e Federatës Ruse. Përveç sa më sipër, do të jetë i nevojshëm projektimi, krijimi dhe certifikimi i objekteve të informatizimit (sisteme të automatizuara dhe ambiente të sigurta) të destinuara për përpunimin e informacionit konfidencial. Në këtë rast, lind problemi i blerjes, mbi çdo bazë ligjore, të pajisjeve të kontrollit dhe matjes që i licencuari nuk ka nevojë për të ofruar shërbime TKI. Për më tepër, shumica e këtyre kërkesave janë mjaft të kushtueshme në aspektin ekonomik, kryesisht për organizatat buxhetore në fushën e arsimit, kujdesit mjekësor dhe kompleksit të banesave dhe shërbimeve komunale.

Ekzekutimi i funksionit shtetëror të licencimit të aktiviteteve në TZKI në përputhje me paragrafët 12-14 të Rregullores përfshin procedurat administrative të mëposhtme (Fig. 1):

informimi dhe konsultimi për procedurën e kryerjes së funksioneve shtetërore;
shqyrtimi i një aplikacioni për licencë;
kontrollimi i aftësisë së aplikantit për licencë për të përmbushur kërkesat dhe kushtet e licencës;
marrjen e vendimit për dhënien e licencës;
lëshimi i një dokumenti që konfirmon disponueshmërinë e licencës;
lëshimi i një dublikate dhe kopje të një dokumenti që konfirmon disponueshmërinë e licencës;
zgjatja e afatit të licencës;
rilëshimi i një dokumenti që konfirmon praninë e licencës;
monitorimi i pajtueshmërisë së të licencuarit me kërkesat dhe kushtet e licencimit;
pezullimi, rinovimi i licencës dhe revokimi i licencës;
mbajtja e regjistrit të licencave;
sigurimi i informacionit nga regjistri i licencës.

Një zyrtar i FSTEC i Rusisë merr një vendim për dhënien ose refuzimin e dhënies së licencës brenda një periudhe jo më të gjatë se 45 ditë nga data e marrjes së kërkesës për licencë dhe dokumenteve të bashkangjitura (klauzola 14.1 e Rregullores).

Arsyet për refuzimin e dhënies së licencës janë (klauzola 14.3 e Rregullores):

prania në dokumentet e paraqitura nga aplikanti për licencë të informacionit jo të besueshëm ose të shtrembëruar;

mospërputhja e aplikantit për licencë, objekteve në pronësi ose në përdorim të tij me kërkesat dhe kushtet e licencimit.

Licenca për të kryer veprimtari për mbrojtjen teknike të informacionit konfidencial jepet për një periudhë 5-vjeçare (klauzola 14.4 e Rregullores). Në të njëjtën kohë, nga 30 janari 2011, shumat e tarifave shtetërore janë ndryshuar: për lëshimin e licencës - 2600 rubla dhe për zgjatjen e periudhës së vlefshmërisë së licencës - 200 rubla.

Siç shihet nga diagrami dhe procedurat (Fig. 1), licencimi i TZKI kryhet nga zyra qendrore e FSTEC të Rusisë me përfshirjen e departamenteve të FSTEC të Rusisë për rrethet federale ndryshe nga procedurat e licencimit të FSB të Rusisë, ku licencimi në fushën e tyre të përgjegjësisë kryhet nga departamentet territoriale të FSB të Rusisë. Kohëzgjatja e procesit të licencimit TZKI mund të zgjasë nga dy deri në gjashtë muaj dhe të sjellë kosto të konsiderueshme financiare, veçanërisht në rastin e blerjes së pajisjeve të kontrollit dhe matjes si pronë.

A është e mundur të shmanget nevoja për të licencuar aktivitetet e organizatave dhe ndërmarrjeve nën TZKI? Rekomandimet e FSTEC të Rusisë përfundojnë në nevojën për të lidhur një marrëveshje me një organizatë që ka një licencë TZKI, ndërsa operatori ka licencën e specifikuar kërkesë e detyrueshme nuk eshte.

Rekomandimet e FSTEC të Rusisë për të lidhur marrëveshje me të licencuarit, nga të cilët ka më pak se 2000 në regjistër, nuk lejojnë zgjidhjen e problemit të mbrojtjes së informacionit konfidencial. Sipas vlerësimeve të ekspertëve, vetëm në Rusi ka 5-7 milionë operatorë të të dhënave personale, pa llogaritur operatorët që përpunojnë lloje të tjera informacioni të kufizuar që i nënshtrohen mbrojtjes në përputhje me legjislacionin federal. Për më tepër, një marrëveshje me një të licencuar zakonisht lidhet vetëm për një sasi të caktuar pune dhe shërbimesh, si rregull, vetëm për krijimin e një sistemi për mbrojtjen e informacionit konfidencial.

Çfarë rreziqesh lindin për shumicën e organizatave që nuk kanë dhe nuk planifikojnë të marrin licenca sipas TZKI ose të marrin shërbime nga organizata që kanë një licencë të tillë, me të njëjtën Politika publike dhe pozicioni i FSTEC të Rusisë? Çdo organizatë duhet të vendosë vetë nëse do të marrë një licencë të tillë. Nuk ka dënime administrative për kryerjen e punës pa licencë për aktivitetet TZKI nga ana e FSTEC të Rusisë dhe në situatën aktuale nuk ka gjasa që këto dënime të shfaqen, pasi në kushtet e papërsosmërisë së legjislacionit tonë për mbrojtjen e informacione konfidenciale, gjykatat interpretojnë ndryshe normat e ligjeve federale dhe përgjegjësinë për mospërputhje. Si rezultat, ashpërsia e Rezolutës kompensohet nga natyra jo detyruese e zbatimit të saj. Për shembull, neni 14.1 i Kodit Administrativ të Federatës Ruse parashikon përgjegjësinë për "Kryerjen e veprimtarive të biznesit pa regjistrim shtetëror ose pa leje (licencë) të veçantë". Sipas nenit 2 të Kodit Civil të Federatës Ruse, "aktiviteti sipërmarrës është një veprimtari e pavarur e kryer me rrezikun e vet, që synon marrjen sistematike të fitimit nga përdorimi i pronës, shitja e mallrave, kryerja e punës ose ofrimi i shërbimeve nga personat e regjistruar në këtë cilësi në mënyrën e përcaktuar me ligj.” Vetëm kjo sugjeron që neni 14.1 mund të zbatohet vetëm për ata që ofrojnë shërbime dhe fitojnë para duke garantuar sigurinë e informacionit, d.m.th. të licencuar të FSTEC dhe FSB të Rusisë. Ky artikull nuk ka të bëjë me shumicën dërrmuese të organizatave që përpunojnë informacione konfidenciale (informacion për akses të kufizuar që nuk përbën sekret shtetëror). Sipas shumë specialistëve të sigurisë së informacionit, për shumicën e organizatave joqeveritare që nuk kanë lidhje me mbrojtjen e sekretit shtetëror, vetëm format e menaxhimit të mbrojtjes së informacionit konfidencial janë realisht të mundshme përmes përdorimit rekomandues të rregulloreve, udhëzimeve dhe dokumenteve metodologjike të rregullatorëve, organizativ dhe dokumentet administrative të organizatave, përdorimi i zhvilluar dhe testuar në interes të organeve qeveritare dhe sistemeve dhe ndërmarrjeve të sigurisë së informacionit në varësi të tyre. Baza për funksionimin e sistemeve të mbrojtjes së informacionit konfidencial në këtë rast është zgjedhja personale nga pronari i informacionit të shkallës së mekanizmave të tij të sigurisë dhe mbrojtjes. Në të njëjtën kohë, sipas përvojës së vendeve me legjislacion të zhvilluar në fushën e sigurisë së informacionit, faktorë përcaktues janë rreziku i pjesëmarrësve në marrëdhëniet e informacionit dhe përgjegjësia e tyre personale për masat e marra për mbrojtjen e informacionit konfidencial. Në Rusi, për shembull, kjo qasje u zbatua me prezantimin e Standardeve të Bankës së Rusisë në organizatat RF BS, kur kërkesat për marrjen e licencave për aktivitetet që lidhen me mbrojtjen teknike të informacionit konfidencial dhe kërkesat për certifikimin e sistemeve të informacionit të të dhënave personale janë jo i detyrueshëm (në përputhje me pikën 9. 6 STO BR IBBS-1.0-2010).

Aleksandër Katarzhnov

Ph.D., Profesor i Asociuar, NOU DO Qendra edukative"EUREKA"

Rritja e shpejtë e kompjuterizimit dhe rritja e vëllimeve informacion dixhital të detyruar të rrisin nivelin e sigurisë. Kjo çoi në zhvillim aktiv në mënyra të ndryshme mbrojtjen e të dhënave, si dhe kompanitë që ofrojnë shërbime të privatësisë. Në të njëjtën kohë, aktivitete të tilla lejohen vetëm numër i kufizuar kompanitë.

Detyrimi për marrjen e lejes

Mbrojtja e informacionit personal dhe komercial është një detyrë mjaft delikate dhe e rëndësishme. Është e papranueshme të ofrohen shërbime të tilla pa leje. Llojet e mëposhtme të masave nevojiten për të mbrojtur informacionin:

Zhvillimi, prodhimi dhe shpërndarja e mjeteve të kriptimit
Puna për mbrojtjen teknike të informacionit konfidencial
Zbulim mjete elektronike përdoret për marrjen e të dhënave sekrete
Prodhimi dhe zhvillimi i SZKI (mjetet për mbrojtjen e informacionit konfidencial)
Mirëmbajtja mjete kriptografike mbrojtjen e informacionit, telekomunikacionit dhe sistemeve të informacionit.

Një përjashtim nga kjo është zhvillimi i mjeteve të kriptimit për përdorim personal ose. Një licencë nuk kërkohet gjithashtu për mirëmbajtjen e informacionit dhe sistemeve të tjera të përdorura për informacionin e brendshëm të një kompanie të caktuar.

Pse keni nevojë për një licencë për të vepruar në mbrojtjen teknike (dhe të tjera) të informacionit konfidencial, ne do të shpjegojmë më poshtë.

Licencë për aktivitete që lidhen me mbrojtjen teknike të informacionit konfidencial

Detyrat kryesore të licencimit

Vlen të kuptohet se niveli i konfidencialitetit të informacionit mund të ndryshojë.

Për disa kompani, një rrjedhje e të dhënave mund të sjellë vetëm shqetësim moral, ndërsa kompani të tjera do të humbasin aftësinë për të funksionuar si rezultat.
Gjithashtu, mos harroni për sekretet tregtare të prodhimit të mallrave të ndryshme. Nëse ato publikohen, ka të ngjarë zhvillim të ndryshëm ngjarjet.

Detyra kryesore e licencimit është të shtypë aktivitetet e paaftë. Aplikantët për licencë duhet të plotësojnë kritere të shumta për të siguruar shërbime cilësore të mbrojtjes së të dhënave dhe mbështetje teknike të zellshme.

Kjo video do t'ju tregojë për teknologjitë e sigurisë së informacionit:

Dokumentet normative

Lëshimi i licencave rregullohet me një sërë rregulloresh, ligjesh dhe rregulloresh. Një nga dokumentet kryesore është Ligji Federal Nr. 99 i datës 4 maj 2011 "Për licencimin e llojeve të caktuara të aktiviteteve". Dekretet e mëposhtme të Qeverisë Ruse zbatohen gjithashtu për aktivitetet e mbrojtjes së informacionit:

Nr.45 datë 26.01.2006
Nr.532 datë 31.08.2006
Nr.691, datë 23.09.2002.

Vlen gjithashtu të lexohet Dekreti i Qeverisë së Federatës Ruse Nr. 1418 të 24 dhjetorit 1994. Të gjitha këto dokumente parashikojnë një shqyrtim të hollësishëm të procedurës për marrjen e lejes dhe tregojnë kushtet për sigurimin e saj së bashku me një listë të dokumenteve të nevojshme.

Procedura për marrjen e licencës nga FSTEC e Rusisë për mbrojtjen teknike të informacionit konfidencial, duke shkruar një deklaratë për këtë çështje - e gjithë kjo përshkruhet më poshtë.

Marrja e licencës për të kryer veprimtari të sigurisë së informacionit

Aktivitetet e mbrojtjes së informacionit kërkojnë pajtueshmëri me një listë të madhe kushtesh dhe përgatitje sistematike. Pas paraqitjes së aplikimit, aplikanti për licencë duhet t'i nënshtrohet një ekzaminimi ekspert të përbërë nga punonjës të FSB dhe FSTEC. Përbërja specifike komisioni i ekspertëve varet nga lloji i zgjedhur i veprimtarisë.

Aplikimi dhe vendi i dorëzimit të dokumenteve

Kërkesa për një licencë që lejon veprimtaritë e mbrojtjes së informacionit plotësohet në formën e përcaktuar me ligj. Një mostër aplikimi ofrohet nga autoritetet shtetërore të licencimit. Dy organizata janë të përfshira në dhënien e licencave për aktivitetet e sigurisë së informacionit:

Shërbimi Federal i Sigurisë (FSB).
Shërbimi Federal për Kontrollin Teknik dhe Eksport (FSTEK).

Pjesa më e madhe e aplikacioneve dorëzohen në FSB; ato ofrojnë shumicën e aktiviteteve. FSTEC është kompetent për të kontrolluar prodhimin dhe zhvillimin e mjeteve të specializuara për mbrojtjen e informacionit konfidencial.

Kushtet e kërkuara për licencimin e aktiviteteve për mbrojtjen teknike të informacionit konfidencial (marrja e licencës për këtë) janë përshkruar më poshtë.

Kushtet

Vështirësia kryesore në marrjen e licencës janë kushtet e ofrimit. Lista është mjaft e gjerë dhe nëse mungon ndonjë artikull, aplikantit i hiqet e drejta për të lëshuar leje. Në të njëjtën kohë, kushtet për tipe te ndryshme aktivitetet ndryshojnë, megjithëse ekziston një listë e përgjithshme.

Duhet të plotësohen kushtet e mëposhtme:

Të ketë të paktën 2 punonjës që kanë arsimin e duhur ose kanë përfunduar kurse rikualifikimi
Zotëroni ose jepni me qira ambiente me përputhje teknike të detyrueshme me llojin e deklaruar të veprimtarisë
Formoni një bazë materiale dhe teknike nga kontrolli, matja, testimi dhe llojet e tjera të nevojshme të pajisjeve në varësi të llojit të aktivitetit.
Konfirmoni që softueri i kërkuar është në pronësi ose në pronësi të ligjshme
Disponueshmëria sistemi i specializuar kontrolli në përputhje me llojin e zgjedhur të veprimtarisë dhe nënpikën e tij specifike
Te kete dokumentacion teknik ligjor, zhvillimet metodologjike, si dhe të dhëna të tjera letre dhe dixhitale të nevojshme për të kryer biznes.

Gjithashtu, disa lloje aktivitetesh mund të kërkojnë pajisje të caktuara të përpunimit të informacionit të certifikuara për siguri.

Një kërkesë tjetër që lidhet me të gjitha llojet e aktiviteteve, përveç prodhimit dhe zhvillimit të SZKI, është prania në postin e një menaxheri që ka arsimin e lartë specialiteti " Siguria e Informacionit» ose që ka kryer një kurs rikualifikimi që i kalon 500 orë klasë.

Dokumentet e nevojshme

Së bashku me kushtet e deklaruara, duhet të siguroni paketën e mëposhtme të dokumenteve:

Kontratat e punës, vërtetimet dhe diplomat e punonjësve
Aplikimi dhe dokumentet mbështetëse për pagesën e detyrës shtetërore
Dokumentet që konfirmojnë ekzistencën ligjore të sistemeve të kontrollit
Dokumentet e titujve për ambientet dhe softuerin
Të dhëna për disponueshmërinë e dokumentacionit teknik dhe të tjera të nevojshme për punë
Dokumentet që konfirmojnë disponueshmërinë e bazës së nevojshme materiale dhe teknike
Certifikatat e konformitetit të objekteve të përpunimit të informacionit dhe/ose ambienteve të mbrojtura.

Të gjitha të dhënat jepen së bashku me dokumentet përbërëse aplikanti. Numri i formularëve në letër ndryshon shumë në varësi të llojit të aktivitetit të zgjedhur, pranisë së disa ambienteve, programeve dhe dokumentacioni teknik. Kjo është arsyeja pse, gjatë mbledhjes së një pakete dokumentesh, është e nevojshme të sqarohet prania e rregulloreve të reja në lidhje me licencimin e veprimtarive të mbrojtjes së informacionit.

Fazat e licencimit të aktiviteteve për organizimin e sigurisë së informacionit janë përshkruar më poshtë.

Fazat

Procedura për dhënien e licencës zgjat nje numer i madh i koha. Ligjërisht, periudha për lëshimin e këtij dokumenti është e kufizuar në 45 ditë. Nje nga hapa të rëndësishëmështë faza paraprake e marrjes së lejes; vetë mundësia e dhënies së të drejtës për veprimtari të mbrojtjes së informacionit varet nga cilësia e zbatimit të saj.

Fazat përgatitore të licencimit:

Studimi i kuadrit rregullator
Përcaktimi i pajtueshmërisë me kushtet e deklaruara
Mbledhja e një pakete dokumentesh dhe hartimi i një aplikacioni
Rianalizë e kushteve dhe dokumenteve të ofruara.

Nëse periudha përgatitore e licencimit kryhet në mënyrë korrekte, gjasat për të marrë një licencë janë shumë të larta. Shpesh arsyeja e refuzimit janë pikërisht gabimet në dokumentet e paraqitura ose mospërputhja me kushtet e nevojshme.

Pas fazën paraprakeështë e nevojshme të paraqisni dokumente pranë autoritetit të nevojshëm licencues, të zgjedhur në varësi të llojit të aktivitetit (FSB ose FSTEC). Pika tjetër do të jetë ekzaminimi i dokumenteve nga një komision ekspertësh. Nëse ato përputhen, organizohet një kontroll aftësitë teknike dhe kushtet për kryerjen e aktiviteteve. Fazat përfundimtareështë lëshimi i një formulari zyrtar të licencës.

Informacion i dobishëm

Vëmendje e veçantë duhet t'i kushtohet faktit që të gjithë të licencuarit ekzistues i nënshtrohen inspektimeve rutinë nga oficerët e FSB-së. Për më tepër, ky lloj aktiviteti karakterizohet nga inspektime spontane pa paralajmërim. Ato kryhen ligjërisht për të arritur cilësi maksimale shërbimet e ofruara për ruajtjen e informacionit.
Për këtë arsye, afati i vlefshmërisë së licencës është përcaktuar të jetë minimalisht 5 vjet dhe procedura për rinovimin e lejes është thjeshtuar. Është e nevojshme të ri-lëshohet dokumenti që konfirmon lejen. Me aplikimin e të licencuarit, atij i lëshohet një formular i ri me afat vlefshmërie të zgjatur. Kjo është e mundur vetëm në mungesë të shkeljeve të rënda - nëse ka, licenca revokohet.

Marrja e lejes për të kryer aktivitete të sigurisë së informacionit në vetvete nuk është veçanërisht e vështirë. Është shumë më e vështirë për të mbledhur paketën e nevojshme të dokumenteve dhe për të përmbushur saktë të gjitha kushtet e kërkuara. Kur aplikoni për një licencë, gjëja më e rëndësishme që duhet t'i kushtoni vëmendje është fazë përgatitore dhe nëse bëhet mirë, marrja e lejes nuk do të jetë e vështirë.

Edhe me shume informacione të dobishme Mbrojtja e informacionit dhe licencimi i aktiviteteve të tilla gjendet në këtë video:

Licencimi në fushën e mbrojtjes së informacionit. Si të merrni një licencë FSTEC? Kërkesat për marrjen e një licence FSTEC

4.3. Monitorimi i përputhshmërisë me kërkesat dhe kushtet e licencës

Dërgoni punën tuaj të mirë në bazën e njohurive është e thjeshtë. Përdorni formularin e mëposhtëm

Bibliografi

1 . Kiyaev V., Granichin O. // Siguria e sistemeve të informacionit// Universiteti i Hapur Kombëtar "INTUIT" * 2016 //faqe 105-106

2. Snytikov A.A. Licencimi dhe certifikimi në fushën e sigurisë së informacionit.-M: Gelios ARV, 2012 // fq. 223-224

3. Sistemi i certifikimit për mbrojtjen e informacionit kriptografik do të thotë: Nr.ROSS RU.0001.030001 datë 15.11.2012.

4. Bumazhkov A. Kirina A. Licencimi dhe certifikimi në fushën e sigurisë së informacionit

5.Termat dhe përkufizimet në fushën e sigurisë së informacionit.Moskë 2011

Postuar në Allbest.ru

Dokumente të ngjashme

Detyrimi për marrjen e lejes

Detyrat kryesore të licencimit

Dokumentet normative

Marrja e licencës për të kryer veprimtari të sigurisë së informacionit

Aplikimi dhe vendi i dorëzimit të dokumenteve

Kushtet

Dokumentet e nevojshme

Fazat

Informacion i dobishëm

Artikujt më të mirë mbi këtë temë