Обучение дошкольников декоративной лепке

Вид работы:

Реферат
Предмет:

Педагогика
Язык:

Русский
,
Формат файла:
MS Word

25,65 kb
Опубликовано:

2008-12-09

Все рефераты по педагогике

Скачать реферат Читать текст online Заказать реферат
*Помощь в написании! Посмотреть все рефераты

Вы можете узнать стоимость помощи в написании студенческой работы.

Обучение дошкольников декоративной лепке

Некоммерческое частное образовательное учреждение высшего профессионального образования

«Кубанский институт информзащиты»

ФАКУЛЬТЕТ ЗАЩИТЫ ИНФОРМАЦИИ

КУРСОВАЯ РАБОТА

по дисциплине «Техническая защита информации»

специальность «Комплексная защита объектов информатизации»

Тема: «Сертификация средств защиты информации»

Выполнил:

студент группы 09-К-01

очного отделения

Малышев Иван Сергеевич

преподаватель:

Соловьёв А.М.

Краснодар 2012

Оглавление

Введение……………………………………………………………………..3

ГЛАВА I. ПРАВОВАЯ СИСТЕМА СЕРТИФИКАЦИИ ЗАШИТЫ ИНФОРМАЦИИ............................................................................6

1.1. Законодательство Российской Федерации об информации, информационных технологиях и о защите информации……………...8

1.2.Указы правовой системы сертификации защиты информации…....... 14

1.3. Постановление РФ правовой системы

сертификации защиты информации………………………………………..18

1.4.Руководящие документы ФСТЭК России……………………………..21

1.5. Документы по созданию автоматизированных систем и систем защиты информации…………………………………………….25

ГЛАВА II . ОБЪЕКТ СЕРТИФИКАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ…………….28

2.1. Типовые требования к содержанию и порядку разработки руководства по защите информации от технических разведок и её утечки по техническим каналам.......................................................28

2.2. Основное содержание Руководства по защите информации………..29

2.3. Порядок разработки, согласования и утверждения

руководства по защите информации…………………………………...33

2.4. Государственная система защиты информации………………….......34

2.5. Методы и способы защиты информации в информационных системах персональных данных…………………35

ГЛАВА III. ПОРЯДОК ПОЛУЧЕНИЯ И ЛИЦЕНЗИИСЕРТИФИКАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ…………………………………………………37

3.1. Аттестация в области защиты информации…………………………..37

3.2. Система аттестации объектов информатизации по

требованиям безопасности информации…………………………………..39

3.3. Подготовки к аттестации из следующего основного перечня работ………………………………………………..40

3.4. Лицензирование в области защиты информации…………………….41

3.5. Условия и порядок получения лицензии ФСТЭК, СКЗИ....................44

3.6. Порядок получения лицензии ФСТЭК на право технической защиты конфиденциальной информации………………..45

3.7. Лицензирование деятельности по разработке и производству средств технической защиты информации СКЗИ……………………...46

3.8. Обязанности предприятий, действующих на основании лицензии ФСТЭК………………………………………....47

3.9. Сертификация в области защиты информации………………………..47

Заключение………………………………………………………………55

Литература….……………………………………………………………57

Введение

Информационная безопасность Российской Федерации (РФ) является одной из составляющих национальной безопасности Российской Федерациии оказывает влияние на защищенность национальных интересов РФ в различных сферах жизнедеятельности общества и государства. В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности РФ.

К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ. Наиболее важными направлениями этой деятельности. внесение изменений и дополнений в законодательство РФ, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности РФ, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов РФ, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности РФ.

Законодательное разграничение полномочий в области обеспечения информационной безопасности РФ между федеральными органами государственной власти и органами государственной власти, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;

разработка и принятие нормативных правовых актов, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну.

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

Лицензирование деятельности в области защиты информации - важнейшая составляющая государственной системы защиты информации. Конфиденциальные сведения должны обрабатываться при использовании сертифицированных программных средств защиты. Для того чтобы проверить, насколько эффективно защищается конфиденциальная информация, проводится аттестация средств, используемых для ее хранения и обработки.

Объектом исследования являются все средства, применяемые для защиты информации, учитываются условия и характер эксплуатации объектов. Аттестация необходима для того, чтобы составить независимое заключение о достигнутом в организации уровне защищенности информационных систем. Самым эффективным способам проверки соответствия информационных средств защиты действующим нормативам является привлечение сотрудников, имеющих лицензию Федеральная Служба по Техническому Экспортному Контролю (ФСТЭК) на проведение данной категории работ.

сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;

ГЛАВА I. ПРАВОВАЯ СИСТЕМА СЕРТИФИКАЦИИ ЗАШИТЫ ИНФОРМАЦИИ

1.1. Законодательство Российской Федерации об информации, информационных технологиях и о защите информации.

Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

Закон о государственной тайне.

Порядок сертификации средств защиты информации. Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

Организация сертификации средств защиты информации возлагается на федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области обороны, в соответствии с функциями, возложенными на них законодательством Российской Федерации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством РФ.

Координация работ по организации сертификации средств защиты информации возлагается на межведомственную комиссию по защите государственной тайны.

Закон Защита персональных данных.

Подготовка уведомлений уполномоченных органов об обработке персональных данных. Аттестация информационной системы персональных данных в соответствии с указанным классом. Защита персональных данных на финальном этапе создания системы представляет собой аттестацию информационной системы по требованиям защиты информации Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Результат создания комплексной системы защиты персональных данных. Система защиты персональных данных в организации построена в соответствии с требованиями законодательства;

Автоматизированная система защиты персональных данных аттестована на соответствие требованиям по защите персональных данных;

Защита интересов клиентов и партнеров компании, предоставляющих конфиденциальную информацию, и, как следствие, установка с ними плодотворных и доверительных отношений.

Экспортный контроль в Российской Федерации осуществляется посредством методов правового регулирования внешнеэкономической деятельности, включающих в себя:

идентификацию контролируемых товаров и технологий, то есть установление соответствия конкретных сырья, материалов, оборудования, научно-технической информации, работ, услуг, результатов интеллектуальной деятельности, являющихся объектами внешнеэкономических операций, товарам и технологиям, включенным в списки (перечни), указанные в статье 6 настоящего Федерального закона;

разрешительный порядок осуществления внешнеэкономических операций с контролируемыми товарами и технологиями, предусматривающий лицензирование или иную форму их государственного регулирования;

таможенный контроль и таможенное оформление контролируемых товаров и технологий, перемещаемых через таможенную границу Российской Федерации, в соответствии с таможенным законодательством Российской Федерации.

Закон о коммерческой тайне.

Меры по охране конфиденциальности информации признаются разумно достаточными, если:

исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;

обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.

Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя,

нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Охрана конфиденциальности информации в рамках трудовых отношений. В целях охраны конфиденциальности информации работодатель обязан ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты.

Федеральный закон О военно-техническом сотрудничестве Российской Федерации с иностранными государствами.

Специально уполномоченный федеральный орган исполнительной власти в области экспортного контроля организует в соответствии с законодательством Российской Федерации государственную аккредитацию организаций, создавших внутрифирменные программы экспортного контроля, и выдает им свидетельства о государственной аккредитации.

Лицензии или разрешения на осуществление внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), предусмотренные статьями 19 и 20 настоящего Федерального закона

Федеральный Закон о лицензировании отдельных видов деятельности.

В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

предоставление услуг в области шифрования информации;

разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.

Деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;

деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах.

деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

деятельность по технической защите конфиденциальной информации;

разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.

Федеральный Закон «Об электронной цифровой подписи» Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.

Учредительные документы удостоверяющих центров, выдающих сертификаты ключей подписей для использования в информационных системах общего пользования, подлежат приведению в соответствие с настоящим Федеральным законом в течение шести месяцев со дня вступления в силу настоящего Федерального закона.

1.2.Указы правовой системы сертификации защиты информации.

Указ Президента РФ от 4 декабря 2008 г. № 1726

О внесении изменений в список товаров и технологий двойного назначения, которые могут быть использованы при создании вооружений и военной техники и в отношении которых осуществляется экспортный контроль.

В целях защиты национальных интересов и обеспечения выполнения международных обязательств Российской Федерации, вытекающих из ее участия в Вассенаарских договоренностях по экспортному контролю за обычными вооружениями, товарами и технологиями двойного назначения.

Указ Президента Российской Федерации от 27 мая 2007 г. № 665

О мерах по выполнению резолюции совета безопасности ООН 1718 от 14 октября 2006 г.

Предусматривающей применение ряда ограничений в отношении Корейской Народно-Демократической Республики в связи с проведением ею ядерного испытания, и в соответствии с Федеральным законом от 30 декабря 2006 г. № 281-ФЗ "О специальных экономических мерах".

Указ Президента РФ от 30 мая 2005 г. Об утверждении Положения о персональных данных государственного гражданского служащего РФ его личного дела.

Обеспечивает защиту персональных данных государственных служащих РФ содержащихся в их личных делах, от неправомерного их использования или утраты за счет средств государственных органов в порядке, установленном федеральными законами.

Определение лиц, уполномоченных на получение обработку, хранение, передачу и любое другое использование персональных данных государственных гражданских служащих Российской Федерации в государственном органе и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

Указа Президента Российской Федерации от 3.04.95 г. N 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации".

Освещая вопросы сертификации следует отметить, что до настоящего времени возникают вопросы о разграничении функций между Гостехкомиссией и ФАПСИ в области сертификации средств защиты информации в связи с выходом. В Гостехкомиссию России поступают запросы из министерств и ведомств, других государственных предприятий и организаций о порядке сертификации защищенных технических средств и средств защиты информации, а также лицензирования деятельности в области защиты информации. Использование в Указе «защищенные технические средства хранение, обработку и передачи информации» дает возможность толкования исключительности функций ФАПСИ по отношению к другим органам, имеющим юридическое право на выполнение работ в области защиты информации.

УП РФ "Вопросы Межведомственной комиссии по защите государственной тайны" от 6 октября 2004 г. № 1286

Утвердает структуру Межведомственной комиссии по защите государственной тайны и ее состав по должностям .

Устанавливает, что решения Межведомственной комиссии по защите государственной тайны, принятые в соответствии с ее полномочиями, обязательны для исполнения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, должностными лицами и гражданами.

УП РФ "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17 марта 2008 г. N 351

Устанавливает что подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно - телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к международной компьютерной сети "Интернет"

1.3. Постановление РФ правовой системы сертификации защиты информации.

Постановление Правительства РФ от 15 августа 2006 г. N 504 о лицензировании деятельности по технической защите конфиденциальной информации.

Определяет порядок лицензирования деятельности по разработке и (или) производству средств защиты конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями. Лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляет ФСТЭК, а в части разработки и (или) производства средств защиты конфиденциальной информации, устанавливаемых на объектах Администрации Президента РФ, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации, Федеральная служба безопасности Российской Федерации. О формах документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации .

Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 691 Об утверждении положения о лицензировании внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль

Утвердает лицензирование внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль.

Установливает лицензии на осуществление внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль, выданные ФСТЭК.

Постановление Правительства РФ от 29 февраля 2000 г. N 176 "Об утверждении Положения о государственной аккредитации организаций, создавших внутрифирменные программы экспортного контроля"

Утвердает государственную аккредитацию организаций, создавших внутрифирменные программы экспортного контроля.

Проведение государственной аккредитации организуется Федеральной службой по техническому и экспортному контролю.

Правила проведения государственной экспертизы внешнеэкономических сделок с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности, в отношении которых установлен экспортный контроль.

Постановление Правительства РФ от 31 августа 2006 г. N 532 "О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации"

Утверждает лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации. Устанавливает, что лицензии на осуществление деятельности по разработке и (или) производству средств защиты конфиденциальной информации, предоставленные в установленном порядке до принятия настоящего постановления, действительны до окончания указанного в них срока.

Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положени об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

Утверждает прилагаемый Порядок проведения классификации информационных систем персональных данных.

Определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий

и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

1.4.Руководящие документы ФСТЭК России.

Приказ ФСТЭК №58 от 5.02.2010г. "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"

Устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), или лицом, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо).

Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13.02.2008г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

Определяет порядок проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

«Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);

Документ излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации.

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 16 ноября 2009 г

Методика предназначена для использования при проведении работ по обеспечению безопасности персональных данных при их обработке в следующих автоматизированных информационных системах персональных данных, государственных или муниципальных ИСПДн.

Документ предназначен для специалистов по обеспечению безопасности информации, руководителей организаций и предприятий, организующих и проводящих работы по обработке ПДн в ИСПДн.

Приказ председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199

Устанавливает организационную структуру системы сертификации средств защиты информации по требованиям безопасности информации, функции субъектов сертификации, порядок сертификации, государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации, общие требования к нормативным и методическим документам по сертификации средств защиты информации. Также приведены перечень средств защиты информации, подлежащих сертификации в системе сертификации, формы заявок на проведение сертификации и продление срока действия сертификата, решения по заявке на проведение сертификации (продлению срока действия сертификата), сертификата и лицензии на применение знака соответствия.

Руководящий документ. Средства вычислительной техники. Межсетевые экраны защита от несанкционированного доступа к информации.

Показатели защищенности от несанкционированного доступа к информации.

Устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Под сетями ЭВМ, распределенными автоматизированными

системами (АС) в данном документе понимаются соединенные каналами связи системы обработки данных, ориентированные на конкретного пользователя.

Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты Гостехкомиссия России, 2003 год

Устанавливает порядок формирования семейств профилей защиты для изделий информационных технологий. Документ предназначен для использования заказчиками и разработчиками изделий ИТ при разработке профилей защиты для типовых изделий ИТ в соответствии с Руководящим документом Гостехкомиссии России «Критерии оценки безопасности информационных технологий».

1.5. Документы по созданию автоматизированных систем и систем защиты информации.

ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.

В настоящем стандарте реализованы нормы Федеральных законов от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне"

Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

ГОСТ Р 51241-98 Средства и системы контроля и управления доустпом. Классификация. Общие технические требования. Методы испытаний.

Настоящий стандарт распространяется на технические системы и средства контроля и управления доступом, предназначенные для контроля и санкционирования доступа людей, транспорта и других объектов в (из) помещения, здания, зоны и территории.

Устанавливает классификацию, общие технические требования и методы испытаний средств и систем контроля и управления доступом. Распространяется на вновь разрабатываемые и модернизируемые средства и системы контроля и управления доступом.

ГОСТ Р ИСО 7498-2-99 Государственный стандарт РФ Информационная технология взаимосвязь открытых систем базовая эталонная модель.

Определяет базовую эталонную модель взаимосвязи открытых систем (ВОС). Настоящий стандарт устанавливает основы для обеспечения скоординированных разработок действующих и будущих стандартов по ВОС.

Назначение ВОС состоит в обеспечении такой взаимосвязи неоднородных вычислительных систем, которая позволила бы достичь эффективного обмена данными между прикладными процессами. В различных ситуациях необходимо обеспечение управляющих функций защиты информации, которой обмениваются прикладные процессы.

Основные услуги и механизмы защиты и их соответствующее размещение определено для всех уровней базовой эталонной модели.

ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

Настоящий стандарт устанавливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями. Рекомендации настоящего стандарта следует выбирать и использовать в соответствии с действующим законодательством.

"Общие критерии" (ГОСТ Р 15408-2002)

Порядок аттестации объектов. Регламентом стандарта предусмотрено, что сначала владелец ИС создает ее профиль защиты или задание по безопасности.

Выбранные системы должны быть сертифицированы по ГОСТ 15408 на соответствие разработанным заданиям по безопасности. В подсистеме защиты информации применяются выбранные средства или СЗИ в той конфигурации, в которой они описаны в задании по безопасности на ИС. И, наконец, подсистема информационной безопасности сертифицируется на соответствие заданию безопасности по ГОСТ 15408.

ГОСТ Р ИСО/МЭК 9126-93 Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению.

Действующий настоящий стандарт определяет шесть характеристик, которые с минимальным дублированием описывают качество программного обеспечения. Данные характеристики образуют основу для дальнейшего уточнения и описания качества программного обеспечения. Руководства описывают использование характеристик качества для оценки качества программного обеспечения.

Стандарт предназначен для характеристик, связанных с приобретением, разработкой, эксплуатацией, поддержкой, сопровождением или проверкой программного обеспечения.

ГОСТ 28806-90 Качество программных средств. Термины и определения

Настоящий стандарт устанавливает термины и определения понятий в области качества программных средств. Термины, установленные настоящим стандартом, обязательны для применения во всех видах документации и литературы по вычислительной технике и программным средствам, входящих в сферу работ по стандартизации и использующих результаты этих работ.

ГОСТ 28195-89. «Оценка качества программных средств. Общие положения»;

Настоящий стандарт, устанавливает общие положения по оценке качества программных средств вычислительной техники (далее - ПС), поставляемых через фонды алгоритмов и программ (ФАП), номенклатуру и применяемость показателей качества ПС.

ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники»;

Стандарт устанавливает требования к составу и содержанию реквизитов, придающих юридическую силу документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники, а также порядок внесения изменений в эти документы. Стандарт обязателен для всех предприятий, организаций и учреждений (далее - организаций) осуществляющих информационный обмен документами на машинном носителе и машинограммами.

ГЛАВА II . ОБЪЕКТ СЕРТИФИКАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ. 2.1. Типовые требования к содержанию и порядку разработки руководства по защите информации от технических разведок и её утечки по техническим каналам.

Под объектом защиты (далее-объект) понимается имущественный комплекс: здания, сооружения, помещения и территория, на которой они размещены, а также расположенные в них технические средства и иное имущество, требующие защиты и принадлежащие государственным органам, государственным и коммерческим организациям на праве собственности. оперативного управления или хозяйственного ведения.

Руководство разрабатывается на каждом объекте, на котором предусматривается защита информации от технических, разведок и от ее утечки по техническим каналам (далее-защита информации) в ходе его строительства (реконструкции) и эксплуатации.

Руководство определяет содержание и порядок осуществления мероприятий по защите информации, содержащей сведения, отнесённые в установленном порядке к государственной или служебной тайне. Мероприятия по защите информации должны быть увязаны с мероприятиями по легендированию объектов и режиму секретности.

При разработке Руководства используются:

концепция защиты информации от ИТР;

модель ИТР применительно к объекту защиты;

нормы противодействия средствам технический разведки;

нормы эффективности защиты информации, обрабатываемой техническими средствами;

инструкции по защите информации об образцах ВиВТ, создаваемых или используемых на объекте;

требования по защите информации о создаваемых образцах ВиВТ и выполняемых работах, подлежащих защите от ИТР;

инструкция по проектированию технических мероприятий защиты промышленных объектов от ИТР;

проектная документация на строительство (реконструкцию) объекта в части мер защиты информации в ходе его эксплуатации, общий маскировочный замысел защиты информация для объектов первой категории;

результаты анализа разведдоступности и аттестование объекта (первая, вторая, третья категории) или его составных частей на соответствие требованиям по защите информации;

методические и другие руководящие документы в области защиты информации.

При разработке Руководства данные об осведомленности разведок в отношении, конкретного объекта получают в соответствующем министерстве (ведомстве).

2.2. Основное содержание Руководства по защите

Информации.

Руководство должно состоять из следующих разделов:

общие положения;

охраняемые сведения об объекте;

демаскирующие признаки объекта и технические каналы утечки информации;

оценка возможностей технических разведок и других источников угроз безопасности информации (возможно спецтехника, используемая преступными группировками);

организационные и технические мероприятия по защите информации;

оповещение о ведении разведки (раздел включается в состав Руководства по необходимости);

обязанности и права должностных лиц;

планирование работ по защите информации и контролю;

- контроль состояния защиты информации;

- аттестование рабочих мест;

- взаимодействие с другими предприятиями (учреждениями, организациями);

Общие требования по защите информации на объекте, указывается категория объекта по требованиям обеспечения защиты информации, указываются должностные лица. ответственные за выполнение требований Руководства, определяется порядок финансирования работ по защите информации на объекте, приводятся сведения о полученной лицензии на допуск к работе со сведениями, составляющими государственную тайну и об имеющихся сертифицированных средствах защиты информации.

Охраняемые сведения об объекте, в том числе демаскирующие признаки, возникающие в связи с использованием средств обеспечения его деятельности. Приводятся возможные технические каналы утечки охраняемых сведений об объекте, включая каналы утечки информации в технических средствах ее обработки.

Перечень видов и средств технической разведки, источников угроз несанкционированного доступа к информации, в том числе со стороны преступных группировок и результаты оценки их возможностей:

по обнаружению (определению) демаскирующих признаков объекта, раскрывающих охраняемые сведения;

по перехвату информации циркулирующей в технических средствах ее обработки; по перехвату речевой информации из помещений;

по получению, разрушению (уничтожению), искажению или блокированию информации в результате несанкционированного доступа к ней.

При оценке используется "Модель...", "Методики..." и другие документы по этому вопросу.

Организационные и технические мероприятия, обеспечивающие устранение или ослабление (искажение) демаскирующих признаков и закрытие возможных технических каналов утечки охраняемых сведений об объекте, мероприятия по защите информации о создаваемых (применяемых) образцах ВиВТ в соответствии с Инструкциями по защите информации на эти образцы, мероприятия по защите информации об иной создаваемой (применяемой) продукции и технологиях, мероприятия по защите информации при постоянном контролируемом и неконтролируемом нахождении иностранных граждан, как на территории объекта, так и в непосредственной близости от него, а также мероприятия по защите информации в системах и средствах информатизации и связи.

При нахождении на территории объекта организации, арендующей территорию данного объекта, требования по защите информации на данный объект должны быть включены в договор аренды.

Порядок получения, регистрации и передачи данных о пролетах разведывательных ИСЗ, самолетов иностранных авиакомпаний, нахождении иностранных судов в открытых портах, местах, маршрутах и времени проведения иностранных инспекций в соответствии с международными договорами, посещении объекта иностранными представителями, появлении в районе дислокации объекта иностранных граждан, подозреваемых в ведении разведки. А также приводятся внутриобъектовая схема оповещения и действия должностных лиц при оповещении.

Определяются должностные лица подразделений объекта, ответственные за разработку, обеспечение и выполнение мероприятий защите информации, их функциональные обязанности и права, приводится структурная схема взаимодействия подразделении по защите информации на объекте с соответствующими подразделениями данного объекта.

Основные руководящие документы для планирования работ по защите информации, требования к содержанию планов, приводится порядок разработки, согласования, утверждения и оформления планов, устанавливается порядок отчетности и контроля за выполнением планов.

Задачи контроля, перечень органов и подразделений, имеющих право проверки состояния защиты информации на объекте, привлекаемые силы и средства контроля, порядок привлечения (при необходимости) к этой работе специалистов основных подразделений объекта, устанавливаются периодичность и виды контроля, порядок оформления результатов контроля, определяются действия должностных лиц по устранению нарушений норм и требовании по защите информации и порядок разработки мероприятий по устранению указанных нарушений.

Подразделения или должностные лица, ответственные за аттестование рабочих мест, стендов, вычислительных комплексов, выделенных помещений и т.д., приводится форма документирования результатов аттестования и порядок выдачи разрешения на проведении работ с секретной информацией, а также порядок и периодичность аттестования.

Порядок взаимодействия в области защиты информации с предприятиями (учреждениями, организациями) при выполнении совместных работ, применяемые совместные организационные и технические мероприятия по защите информации ответственность, права и обязанности взаимодействующих сторон, а также приводится структурная

схема взаимодействия.

В приложения к Руководству могут включаться:

таблицы, схемы, графики, расчеты, исходные данные и другие справочные материалы для оценки обстановки, определения мероприятий по защите информации;

перечень создаваемых (применяемых) образцов ВиВТ, выполняемых НИОКР и другой продукции, подлежащих защите;

Перечень сведений, подлежащих защите;

план объекта с указанием схем размещения рабочих мест, стендов и т.д., и схем организации связи и сигнализации объекта;

структура системы защиты информации на объекте;

перечень руководящих, нормативных и методических документов по защите информации и др.

Корректировка приложений должна проводиться в случаях изменения характера и направленности работ, разведобстановки, влияющих на состояние защиты охраняемых сведений, введения в действие новых нормативных документов по защите информации или уточнений к ним, а также при уточнении (изменении) легенд прикрытия.

2.3. Порядок разработки, согласования и утверждения

Руководства по защите информации.

Руководство по защите информации разрабатывается подразделением по защите информации от иностранных технических разведок и от её утечки по техническим каналам совместно с основными подразделениями объекта.

Руководство подписывается должностным лицом, ответственным за защиту информации на объекте и утверждается руководителем объекта по согласованию с представителем заказчика, головным подразделением отрасли по защите информации (для предприятий входящих в состав ведомств) и соответствующим территориальным органом государственной безопасности.

Согласованное Руководство утверждается руководителем органа государственной власти или предприятия (учреждения, организации).

Изменения в руководство вносятся, согласовываются и утверждаются в том же порядке и на том же уровне, что и основной документ .

К ознакомлению с Руководством в полном объеме допускается строго ограниченный круг лиц по решению руководителя объекта. Исполнители мероприятий по защите информации на объекте должны быть ознакомлены с Руководством в части, их касающейся.

2.4. Государственная система защиты информации.

Организацию деятельности государственной системы технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной Государственной системой осуществляет ФСТЭК России.

Государственная система защиты информации как система более сложная, включает в себя подсистемы лицензирования деятельности предприятий в области защиты информации, сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.

Подсистемы представляют в совокупности деятельность следующих органов:

Федеральная служба технического и экспортного контроля (ФСТЭК России) и ее территориальные органы (региональные управления в субъектах Российской Федерации)

Федеральные органы исполнительной власти, другие органы и организации Российской Федерации, руководящие работники которых входят в состав коллегии ФСТЭК России по должности (Минюст, Минобороны, МЧС, МВД, МИД, Минпромэнерго, Минэкономразвития, Минприроды, ФСО, ФСБ, СВР, ГУСП, РАН, ЦБР)

Предприятия, проводящие работы с использованием сведений, отнесенных к информации ограниченного доступа, и их подразделения по защите информации

Научно-исследовательские организации по проблемам защиты информации

Организации-разработчики средств защиты информации, защищенных технических средств и средств контроля эффективности защиты информации.

Предприятия, оказывающие услуги в области защиты информации. Организации Федерального агентства по техническому регулированию и метрологии выполняющие работы по стандартизации в области защиты информации.

Органы системы лицензирования деятельности в области защиты информации

Органы системы сертификации средств защиты информации

Органы системы аттестации объектов защиты по требованиям безопасности информации.

2.5. Методы и способы защиты информации в информационных системах персональных данных.

ФСТЭК устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), или лицом, которому на основании договора оператор поручает обработку персональных данных.

Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.

Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой оператором (уполномоченным лицом) системы защиты персональных данных.

ГЛАВА III . ПОРЯДОК ПОЛУЧЕНИЯ И ЛИЦЕНЗИИ СЕРТИФИКАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ.

3.1. Аттестация в области защиты информации.

Аттестация объекта – официальное подтверждение наличия на объекте защиты необходимых и достаточных условий, обеспечивающих выполнение установленных требований руководящих документов по защите информации.

Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК (Гостехкомиссией) России.

Аттестация объектов информатизации носит обязательный характер в случае, если объект информатизации предназначен для обработки информации, отнесённой к служебной тайне или персональным данным, в остальных случаях – рекомендательный характер. Аттестация объектов проводится на соответствие требованиям СТР-К и РД ФСТЭК России. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки конфиденциальной информации на период времени, установленный в этом «Аттестате соответствия».

Объектами аттестации являются защищаемые помещения и объекты информатизации в состав которых входят средства и системы непосредственно обрабатывающие защищаемую информацию. В целом, объект аттестации представляет собой совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Аттестацию объектов информатизации могут проводить организации имеющие лицензию на право оказания услуг по технической защите конфиденциальной информации, органы по аттестации объектов информатизации, аккредитованные ФСТЭК России.

Порядок проведения аттестации объектов информатизации:

Подача и рассмотрение заявки на аттестацию

Предварительное ознакомление с аттестуемым объектом (при необходимости)

Разработка программы и методики аттестационных испытаний.

Заключение договора на проведение аттестации.

Анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и её соответствия требованиям нормативной документации по защите информации

Оценка правильности классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации.

Проверка уровня подготовки кадров и распределения ответственности персонала за обеспечение выполнения требований по безопасности информации

Комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации

Оформление протоколов испытаний и заключения по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

Оформление, регистрация и выдача "Аттестата соответствия"

При выявлении нарушения правил эксплуатации аттестованных объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации органом, проводящим контроль и надзор, может быть приостановлено или аннулировано действие «Аттестата соответствия», с оформлением этого решения в «Аттестате соответствия». Владелец аттестованного объекта информатизации несёт ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.Система аттестации объектов информатизации по требованиям безопасности.

3.2. Система аттестации объектов информатизации по требованиям безопасности информации.

Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации.

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.

3.3. Подготовки к аттестации из следующего основного перечня работ.

- анализ исходных данных по аттестуемому объекту информатизации;

- предварительное ознакомление с аттестуемым объектом информатизации;

- проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;

- проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;

- проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;

- проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;

- анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.

3.4. Лицензирование в области защиты информации.

Лицензирование - мероприятия, связанные с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензий, приостановлением и возобновлением действия лицензий, аннулированием лицензий и контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности соответствующих лицензионных требований и условий.

Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

Деятельность по лицензированию в области защиты информации выполняют ФСБ и ФСТЭК России. Разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.

Предоставление услуг в области шифрования информации. Разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.

Существует определенный порядок лицензирования видов деятельности:

К соискателям лицензии предъявляются требования о наличии у него комплекта необходимых для осуществления лицензируемой деятельности нормативных правовых и нормативно-технических документов, наличие помещений (соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании), производственного, испытательного и контрольно-измерительного оборудования (прошедшего в соответствии

с законодательством РФ метрологическую поверку (калибровку), маркирование и сертификацию) и подготовленных специалистов в области защиты информации (имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации). Так же необходимым является использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством РФ, использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем.

Для получения лицензии, заявителю необходимо предоставить следующие документы:

- Заявление о предоставлении лицензии с указанием наименования и организационно-правовой формы юридического лица, места его нахождения для юридического лица; фамилии, имени, отчества, места жительства, данных документа, удостоверяющего личность, - для индивидуального предпринимателя; лицензируемого вида деятельности, который юридическое лицо или индивидуальный предприниматель намерены осуществлять

- Копии учредительных документов и копия свидетельства о государственной регистрации соискателя.

- Копия документа о государственной регистрации гражданина в качестве индивидуального предпринимателя.

- Копия свидетельства о постановке соискателя лицензии на учет в налоговом органе.

Документ, подтверждающий уплату государственной пошлины за рассмотрение лицензирующим органом заявления о предоставлении лицензии.

Сведения о квалификации работников соискателя лицензии. Копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств).

Копии документов, подтверждающих право собственности, право хозяйственного ведения или оперативного управления на помещения, предназначенные для осуществления лицензируемой деятельности, либо копии договоров аренды указанных помещений или безвозмездного пользования ими.

Копии аттестатов соответствия защищаемых помещений требованиям безопасности информации.

Копии технического паспорта автоматизированной системы с приложениями, акта классификации автоматизированной системы по требованиям безопасности информации, плана размещения основных и вспомогательных технических средств и систем, аттестата.

Соответствия автоматизированной системы требованиям безопасности информации или сертификата соответствия автоматизированной системы требованиям безопасности информации, а также перечень защищаемых в автоматизированных системах ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описание технологического процесса обработки информации в автоматизированной системе.

Копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно-вычислительных машин и базы данных

Сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования

Сведения об имеющихся у соискателя лицензии нормативных правовых актах, нормативно-методических и методических документах по вопросам технической защиты информации

Пояснительная записка (сведения об основном виде (видах) деятельности соискателя лицензии; о том какие мероприятия и (или) услуги по технической защите конфиденциальной информации предполагает осуществлять (осуществляет) соискатель лицензии; перечень КИ, защищаемой (подлежащей защите) в организации; сведения об объектах информатизации, на которых обрабатывается КИ с приложением копий сертификатов (аттестатов по требованиям безопасности информации) на эти объекты; с помощью каких средств осуществляется обработка и защита КИ; какое ПО используется для обработки КИ (с приложением копий договоров пользователей с правообладателем и сертификатов соответствия); в случае оказания услуг – перечень контрольно-измерительной аппаратуры, средств контроля защищенности информации; перечень нормативной и нормативно-методической литературы, необходимой для осуществления заявляемых видов деятельности)

3.5. Условия и порядок получения лицензии ФСТЭК, СКЗИ.

ФСТЭК (Федеральная служба по техническому и экспортному контролю) выдает лицензии организациям, осуществляющим услуги по технической защите информации, а также занимающимся разработкой и распространением программ защиты информации.

Основными и наиболее часто востребованными являются следующие лицензии ФСТЭК:

- на деятельность по тех. защите конфеденциальной информации;

- на осуществление мероприятий или оказание услуг в области защиты гостайны (в части техзащиты информации);

- на работы, связанные с созданием СКЗИ;

- на деятельность по разработке или производству СКЗИ.

Лицензирование деятельности по технической защите конфиденциальной информации.

Лицензирование деятельности в области защиты информации - важнейшая составляющая государственной системы защиты информации. Конфиденциальные сведения должны обрабатываться при использовании сертифицированных программных средств защиты. Объектом исследования являются все средства, применяемые для защиты информации, учитываются условия и характер эксплуатации объектов. Самым эффективным способам проверки соответствия информационных средств защиты действующим нормативам является привлечение сотрудников, имеющих лицензию ФСТЭК на проведение данной категории работ.

3.6. Порядок получения лицензии ФСТЭК на право технической защиты конфиденциальной информации.

Получение лицензии ФСТЭК на право осуществлять техническую защиту конфиденциальной информации возможно только после проведения детального обследования объекта. Проводится такое обследование независимой организацией, имеющей лицензию ФСТЭК на выполнение исследовательских работ в области защиты информации. По результатам проверки составляется протокол с заключениями и рекомендациями. Если все нормативные требования выполняются и лицензиат располагает нормативной и методической документацией, технической базой, квалифицированным инженерным персоналом, способным обеспечить защиту информации, организации выдается аттестат соответствия.

После проведения экспертизы подается заявление на получение лицензии на защиту конфиденциальной информации в орган по лицензированию (лицензионный центр ФСТЭК). Для рассмотрения заявки обязательными документами являются: представление органа государственной власти РФ, материалы проведенной экспертизы, копии правоустанавливающих документов. Организация может получить отказ в выдаче лицензии в том случае, если одно из перечисленных в законе требований не выполняется. Если разрешение на лицензионную деятельность выдано не было, лицензиат может привлечь специалистов ФСТЭК к выполнению услуг по защите СКЗИ, заключив с лицензиатом договор. Лицензия выдается сроком на 3 года.

3.7. Лицензирование деятельности по разработке и производству средств технической защиты информации СКЗИ.

Если одна организация разрабатывает информационную систему защиты персональных данных, а также средства защиты информации по заказу другой организации, отнесенных по классификации к классу К1 и К2, то такой вид деятельности подлежит обязательному лицензированию. В Соответствии с требованиями ФСТЭК, лицензия СЗКИ выдается выпускающим ИСПДн (информационные системы персональных данных) 1 и 2 класса.

К классу 1 (К1) относятся системы, которые должны обеспечивать на высоком уровне безопасность сведений. Нарушение безопасности может привести к особо серьезным негативным последствиям для физического лица или хранителя персональных данных. Класс 2 (К2) - последствия нарушения безопасности хранения информации - серьезные, К3 - последствия незначительные, К4 - без последствий.

Важнейшими системами, обеспечивающими защиту персональных сведений, не содержащих государственную тайну, являются криптографические (шифровальные) средства (СЗКИ - средства защиты конфиденциальной информации), биллинговые и CRM-информационные системы. В настоящее время выпускаются аппаратные, программные и комбинированные средства, служащие для защиты информации при использовании канальной связи, а также средства, обеспечивающие защиту информации от несанкционированного доступа. Лицензия на производство средств шифрования и иных СЗКИ выдается органами ФСТЭК, а лицензия на шифрование, монтаж, обслуживание и уничтожение шифровальных средств выдается ФСБ.

3.8. Обязанности предприятий, действующих на основании лицензии ФСТЭК.

Лицензиаты обязаны действовать в соответствии с нормативными документами ФСТЭК по защите информации. Сотрудники организаций должны соблюдать тайну переписки,

телефонных переговоров, документальных сообщений. В государственный орган по лицензированию ежегодно отправляются отчеты о количестве проведенных мероприятий, оказанных услуг по каждому виду лицензионной деятельности.

3.9. Сертификация в области защиты информации.

Понятия сертификации- это процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям. Если говорить о сертификации применительно к средствам защиты информации, то это деятельность по подтверждению их соответствия требованиям технических регламентов, национальных стандартов или иных нормативных документов по защите информации.

Вся система сертификации обеспечивает достижение прежде всего национальной безопасности в сфере информатизации. Cодействие формированию рынка защищенных информационных технологий и средств их обеспечения, регулирование и контроль разработки, а также последующего производства средств защиты информации, помощь потребителям в компетентном выборе средств защиты информации, защита потребителя от недобросовестности исполнителя (продовца, изготовителя), подтверждение показателей качества продукции.

Сертификации подлежат технические, программные, программно-аппаратные средства защиты информации, средства в которых реализованы СЗИ и средства контроля эффективности защиты информации.

Срок действия сертификата составляет 3 года срок действия сертификата не может превышать пяти лет. Действие сертификата может быть продлено если не изменилось, например, количество и состав изделий подлежащих сертификации, не изменились требования, предъявляемые к СЗИ при сертификации, не изменились технические условия или конструкция изделий. В противном случае, проводится первичная сертификация (то есть в полном объеме, как и при первой сертификации).

орган по сертификации - юридическое лицо или индивидуальный предприниматель, аккредитованные в установленном порядке для выполнения работ по сертификации;

оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту;

Последовательность действий, совершаемых должностными лицами таможенных органов при обнаружении признаков, указывающих на то, что заявленные при декларировании товаров сведения, влияющие на применение к товарам запретов и ограничений, установленных в соответствии с законодательством РФ о государственном регулировании внешнеторговой

деятельности, должным образом не подтверждены. (27)

Система сертификации средств защиты информации - представляет собой совокупность участников сертификации, осуществляющих её по установленным правилам.

Системы сертификации создаются Федеральной службой безопасности Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации

Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством РФ и федеральными органами по сертификации в пределах их компетенции. Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны .В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства должны удовлетворять.

Участниками сертификации средств защиты информации являются:

- федеральный орган по сертификации;

- органы по сертификации средств защиты информации - органы, проводящие сертификацию определенной продукции;

- испытательные лаборатории - лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;

- изготовители - продавцы, исполнители продукции.

Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации, в ходе которой федеральные органы по сертификации определяют возможности выполнения этими органами и лабораториями работ по сертификации средств защиты информации и оформляют официальное разрешение на право проведения указанных работ. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.

аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации и испытательных лабораторий.

Выдает сертификаты и лицензии на применение знака соответствия и

ведет государственный реестр участников сертификации и сертифицированных средств защиты информации.

Осуществляет контроль и надзор за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации, а также устанавливает порядок инспекционного контроля.

Рассматривает апелляции по вопросам сертификации;

представляет на государственную регистрацию в Комитет РФ по стандартизации, метрологии и сертификации системы сертификации и знак соответствия. Устанавливает порядок признания зарубежных сертификатов.

Приостанавливает или отменяет действие выданных сертификатов.

Организует работы по формированию системы сертификации и руководство ею, координирует деятельность органов по сертификации средств защиты информации и испытательных лабораторий, входящих в систему сертификации.

Ведет учет входящих в систему сертификации органов по сертификации средств защиты информации и испытательных лабораторий, выданных и аннулированных сертификатов и лицензий на применение знака соответствия. Сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в федеральные органы по сертификации и ведут их учет.

Принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации. Формируют фонд нормативных документов, необходимых для сертификации.

По результатам испытаний оформляют заключения и протоколы, которые направляют в соответствующий орган по сертификации средств защиты информации и изготовителям. Испытательные лаборатории несут ответственность за полноту испытаний средств защиты информации и достоверность их результатов.

Изготовители производят (реализуют) средства защиты информации только при наличии сертификата, извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации.

Маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации;

указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя.

Для данной системы сертификации, обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации. Обеспечивают беспрепятственное выполнение своих полномочий дожностными лицами органов, осуществляющих сертификацию, и контроль за сертифицированными средствами защиты информации.

Прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены.

Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации, к которой могут быть приложены схема проведения сертификации, государственные стандарты и иные нормативные и методические документы, требованиям которых должны соответствовать сертифицируемые средства защиты информации.

Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации о проведении и сроках предварительной проверки производства средств защиты информации.

Для признания зарубежного сертификата изготовитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который извещает изготовителя о признании сертификата или необходимости проведения сертификационных испытаний в срок не позднее одного месяца после получения указанных документов. В случае признания зарубежного сертификата федеральный орган оформляет и выдает изготовителю сертификат соответствия установленного образца. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.

Основными схемами проведения сертификации средств защиты информации являются:

для единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;

для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований. Кроме того, допускается предварительная проверка производства по специально разработанной программе. Срок действия сертификата не может превышать пяти лет.

Испытания сертифицируемых средств защиты информации проводятся на образцах, технология изготовления и конструкция (состав) которых должны соответствовать образцам, поставляемым потребителю (заказчику). В случае отсутствия к началу проведения сертификации аккредитованных испытательных лабораторий орган по сертификации средств защиты информации определяет возможность, место и условия проведения испытаний, обеспечивающие объективность их результатов. При несоответствии результатов испытаний требованиям нормативных и методических документов по защите информации орган по сертификации средств защиты информации принимает решение об отказе в выдаче сертификата и направляет изготовителю мотивированное заключение.

Федеральный орган по сертификации и органы по сертификации средств защиты информации имеют право приостанавливать или аннулировать действие сертификата в следующих случаях:

- изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;

- изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;

- отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.

Порядок оплаты работ по обязательной сертификации средств защиты информации определяется федеральным органом по сертификации по согласованию с Министерством финансов Российской Федерации. Оплата работ по сертификации конкретных средств защиты информации осуществляется на основании договоров между участниками сертификации.

Органы, осуществляющие сертификацию средств защиты информации, несут ответственность, установленную законодательством РФ, за выполнение возложенных на них обязанностей, обеспечение защиты государственной тайны и других конфиденциальных сведений, сохранность материальных ценностей, предоставленных изготовителем, а также за соблюдением авторских прав изготовителя при сертификационных испытаниях средств защиты информации.

Заключение.

1) Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством РФ. Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.

Использование в Указе «защищенные технические средства хранение, обработку и передачи информации» дает возможность толкования исключительности функций ФАПСИ. Лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляет ФСТЭК, а в части разработки и (или) производства средств защиты конфиденциальной информации, устанавливаемых на объектах. Устанавливается организационная структура системы сертификации средств защиты информации, порядок сертификации, государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации, общие требования к нормативным и методическим документам по сертификации средств защиты информации.

2) Руководство определяет содержание и порядок осуществления мероприятий по защите информации, содержащей сведения, отнесённые в установленном порядке к государственной или служебной тайне. Мероприятия по защите информации должны быть увязаны с мероприятиями по легендированию объектов и режиму секретности. Конкретная цель, которая должна быть достигнута в результате проведения мероприятий по защите информации (охраняемых сведений) об объекте, замысел достижения этой цели и приводится перечень охраняемых сведений об объекте и его деятельности.

3)Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации. Получение лицензии ФСТЭК на право осуществлять техническую защиту конфиденциальной информации возможно только после проведения детального обследования объекта.

Литература.

1) [Электронный ресурс] Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. N ПР-1895 Режим доступа: www.apreal.ru.,свободный. Загл. С экрана.- Яз. рус.

[Электронный ресурс] Лицензирование в области защиты информации. www.dehack.ru .,свободный. Загл. С экрана.- Яз. рус.

[Электронный ресурс] Система сертификации средств защиты информации http://www.deHack.ru., свободный. Загл. С экрана.- Яз. рус.

Обучение дошкольников декоративной лепке

Обучение дошкольников декоративной лепке

Федеральный закон О военно-техническом сотрудничестве Российской Федерации с иностранными государствами.

Похожие работы на - Обучение дошкольников декоративной лепке