Слайд 1Лекция
Организационные и технические требования и рекомендации по технической защите информации ограниченного
доступа в органах государственной власти, на ведомственных предприятиях, в организациях, учреждениях
Система органов государственной власти и управления в сфере информатизации и информационной безопасности. Организация системы лицензирования деятельности в области ТЗИ, методика подготовки и проведения процедуры лицензирования деятельности, а также вопросы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации
Слайд 2Учебные вопросы
1. Система органов государственной власти и управления в
сфере информатизации и информационной безопасности.
2. Организация системы лицензирования в области ТЗИ.
3 . Методика подготовки и проведения процедуры лицензирования деятельности.
4. Аттестация объектов информатизации по требованиям безопасности.
5. Сертификация средств защиты информации.
Слайд 3Первый учебный вопрос
Система органов государственной власти и управления в
сфере информатизации и информационной безопасности
Слайд 4Президент
Российской Федерации
Совет Федерации
Федерального Собрания
РФ
Правительство РФ
Государственная дума
Федерального Собрания
РФ
Межведомственные и
государственные
комиссии
Федеральные
органы
исполнительной власти
Совет безопасности
РФ
Основные элементы организационной основы
системы обеспечения информационной
безопасности Российской Федерации
Органы исполнительной
власти субъектов
РФ
Органы местного
самоуправления
Органы судебной
власти
Общественные объединения, граждане,
принимающие участие в решении задач
обеспечения информационной безопасности РФ
Слайд 5
Президент Российской Федерации
руководит в пределах своих конституционных полномочий органами и
силами по обеспечению информационной безопасности РФ;
санкционирует действия по обеспечению информационной безопасности Российской Федерации;
в соответствии с законодательством Российской Федерации формирует, реорганизует и упраздняет подчиненные ему органы и силы по обеспечению информационной безопасности Российской Федерации;
определяет в своих ежегодных посланиях Федеральному Собранию приоритетные направления государственной политики в области обеспечения информационной безопасности Российской Федерации, а также меры по реализации настоящей Доктрины.
Слайд 6
Палаты Федерального Собрания РФ на основе Конституции РФ по
представлению Президента РФ и Правительства РФ формируют законодательную базу в области обеспечения информационной безопасности Российской Федерации.
Правительство Российской Федерации в пределах своих полномочий и с учетом сформулированных в ежегодных посланиях Президента РФ Федеральному Собранию приоритетных направлений в области обеспечения информационной безопасности РФ координирует деятельность федеральных органов исполнительной власти и органов исполнительной власти субъектов РФ, а также при формировании в установленном порядке проектов федерального бюджета на соответствующие годы предусматривает выделение средств, необходимых для реализации федеральных программ в этой области.
Слайд 7
Совет Безопасности Российской Федерации проводит работу по выявлению и
оценке угроз информационной безопасности РФ, оперативно подготавливает проекты решений Президента РФ по предотвращению таких угроз, разрабатывает предложения в области обеспечения информационной безопасности РФ, координирует деятельность органов и сил по обеспечению информационной безопасности РФ, контролирует реализацию федеральными органами исполнительной власти и органами исполнительной власти субъектов РФ решений Президента РФ в этой области.
Федеральные органы исполнительной власти обеспечивают исполнение законодательства РФ, решений Президента РФ и Правительства РФ в области обеспечения информационной безопасности РФ;
в пределах своей компетенции разрабатывают нормативные правовые акты в этой области и представляют их в установленном порядке Президенту РФ и в Правительство РФ
Слайд 8
Межведомственные и государственные комиссии решают в соответствии
с предоставленными им полномочиями задачи обеспечения информационной безопасности Российской Федерации.
Органы исполнительной власти субъектов РФ
взаимодействуют с федеральными органами исполнительной власти по вопросам исполнения законодательства РФ, решений Президента РФ и Правительства РФ в области обеспечения информационной безопасности РФ, а также по вопросам реализации федеральных программ в этой области;
совместно с органами местного самоуправления осуществляют мероприятия по привлечению граждан, организаций и общественных объединений к оказанию содействия в решении проблем обеспечения информационной безопасности РФ;
вносят в федеральные органы исполнительной власти предложения по совершенствованию системы обеспечения информационной безопасности Российской Федерации
Слайд 9
Органы местного самоуправления обеспечивают соблюдение законодательства Российской Федерации в
области обеспечения информационной безопасности Российской Федерации.
Органы судебной власти осуществляют правосудие по делам о преступлениях, связанных с посягательствами на законные интересы личности, общества и государства в информационной сфере, и обеспечивают судебную защиту граждан и общественных объединений, чьи права были нарушены в связи с деятельностью по обеспечению информационной безопасности Российской Федерации.
В состав системы обеспечения информационной безопасности Российской Федерации могут входить подсистемы (системы), ориентированные на решение локальных задач в данной сфере.
Слайд 10Полномочный представитель
Президента РФ
в федеральном округе
Совет по информацион-
ной безопасности и
информатизации
Территориальные органы
федеральных
органов
исполнительной власти
Управление ФСТЭК России
по Ю и СК ФО
ВВУЗы, осуществляющие
подготовку специалистов
по ЗИ
Организации – лицензиаты
ФСТЭК России
Органы государственной
и исполнительной
власти субъектов РФ
Государственная система защиты информации
в Южном и Северо - Кавказском
федеральных округах
Предприятия и
организации ОПК
Общественные объединения, граждане,
принимающие участие в решении задач
обеспечения информационной безопасности РФ
Слайд 11Второй учебный вопрос
Организация системы лицензирования в области ТЗКИ
Слайд 12Основные законодательные и нормативные акты лицензирования деятельности
Закон Российской Федерации «О государственной
тайне от 21.07.1993 № 5485-1
ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
ФЗ от 08.08.2001 № 128 - ФЗ «О лицензировании отдельных видов деятельности»
Постановление Правительства РФ от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности»
Постановление Правительства РФ от 15.09.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»
Постановление Правительства РФ от 31.08.2006 № 532 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты информации»
Слайд 13Организационная структура системы
лицензирования в области ЗКИ
Слайд 14Порядок лицензирования
Заявление
о предоставлении
лицензии с
приложениями
45 дней
Предоставление
лицензии
Слайд 15Перечень документов для получения лицензии по ТЗКИ
Заявление о предоставлении лицензии
Копии учредительных
документов и копия документа о государственной регистрации юридического лица
Копия свидетельства о постановке соискателя на учет в налоговом органе
Документ, подтверждающий уплату лицензионного сбора
Сведения о квалификации работников соискателя лицензии
Копии документов, подтверждающих квалификацию специалистов по ЗИ
Копии документов, подтверждающих право собственности, либо копии договоров аренды
Копии аттестатов соответствия ЗП требованиям безопасности информации
Копии ТП АС, акта классификации АС, плана размещения ОТСС и ВТСС, аттестата соответствия АС
Перечень защищаемых в АС ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описание технологического процесса обработки информации в АС
Копии документов, подтверждающих право на используемые для осуществления лицензированной деятельности программы для ЭВМ и базы данных
Сведения о наличии производственного и контрольно-измерительного оборудования, СЗИ и средств контроля защищенности информации с приложением копий документов о поверке
Сведения об имеющихся нормативных правовых актах, нормативно-методических и методических документах по вопросам ТЗИ
Слайд 16Третий учебный вопрос
Методика подготовки и проведения процедуры лицензирования деятельности
Слайд 17С чего начать?
Закупить контрольно-измерительную аппаратуру.
Создать рабочие места (экранированное сооружение, измерительная площадка,
АРМ, ЗП).
Приобрести необходимую нормативно-методическую и методическую документацию, законодательные акты.
Создать подразделение по защите информации (назначить ответственного специалиста) и укомплектовать его подготовленными специалистами.
Слайд 23Основные НМД
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об
информации, информационных технологиях и о защите информации».
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне».
Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности».
Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи».
Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи».
«Доктрина информационной безопасности Российской Федерации», утвержденная Президентом Российской Федерации 9 сентября 2000 г.
№ Пр-1895.
Указ Президента Российской Федерации от 12 мая 2009 г. № 537 «О стратегии национальной безопасности Российской Федерации до 2020 года».
Указ Президента Российской Федерации от 17 марта 2008 г. № 351
«О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».
Слайд 24
Постановление Правительства Российской Федерации от 3 ноября 1994 г.
№ 1233 «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти».
Постановление Правительства Российской Федерации от 26 января 2006 г. № 45 «Об организации лицензирования отдельных видов деятельности».
Постановление Правительства Российской Федерации от 15 сентября 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации».
Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации».
Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», Москва, 2002 г.
«Порядок проведения классификации информационных систем
персональных данных», утвержденный приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.
Слайд 25
« «Положение по защите информации при использовании оборудования с числовым программным
управлением, предназначенного для обработки информации, не содержащей сведения, составляющие государственную тайну» утвержденное приказом ФСТЭК России от 29 марта 2009 г. № 191.
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная заместителем директора ФСТЭК России 15 февраля 2008 г.
«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная заместителем директора ФСТЭК России 14 февраля 2008 г.
«Положение о методах и способах защиты информации в информационных системах персональных данных», утвержденное Приказом ФСТЭК России от 19.02.2010 № 58.
Слайд 26
«Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим
каналам», Гостехкомиссия России, Москва, 2002 г.
«Сборник руководящих документов по защите информации от несанкционированного доступа», Гостехкомиссия России, Москва, 1998 г.
«Пособие по реализации требований по технической защите информации при архитектурно-строительном проектировании объектов капитального строительства», утвержденное заместителем директора ФСТЭК России 7 декабря 2006 г.
«Методические рекомендации по технической защите информации, составляющей коммерческую тайну», утвержденные заместителем директора ФСТЭК России 25 декабря 2006 г.
«Пособие по организации технической защиты информации, составляющей коммерческую тайну», утвержденное заместителем директора ФСТЭК России 25 декабря 2006 г.
Слайд 27
«Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры», утвержденная
заместителем директора ФСТЭК России 18 мая 2007 г.
«Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры», утвержденная заместителем директора ФСТЭК России 18 мая 2007 г.
«Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры», утвержденные заместителем директора ФСТЭК России 18 мая 2007 г.
«Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры», утвержденные заместителем директора ФСТЭК России 19 ноября 2007 г.
«Положение о реестре ключевых систем информационной инфраструктуры», утвержденное приказом ФСТЭК России от 4 марта 2009 г. №74.
ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения».
ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
Слайд 28
ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие
требования».
ГОСТ Р 51188-2006 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство».
ГОСТ Р 51241-98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний».
ГОСТ 12.1.050-86 «Методы измерения шума на рабочих местах».
ГОСТ Р ИСО 7498-1-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Общие положения».
ГОСТ Р ИСО 7498-2-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации».
ГОСТ 2.114-95 «Единая система конструкторской документации. Технические условия».
ГОСТ 2.601-95 «Единая система конструкторской документации. Эксплуатационные документы».
ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем».
Слайд 29
ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание
на создание автоматизированных систем».
ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
РД Госстандарта СССР 50-682-89 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Общие положения».
РД Госстандарта СССР 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов».
РД Госстандарта СССР 50-680-89 «Методические указания. Автоматизированные системы. Основные положения».
ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадия создания».
ГОСТ 6.30-2003 «Унифицированная система организационно-распорядительной документации. Требования к оформлению документов».
ГОСТ 6.10-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники, ЕСКД, ЕСПД и ЕСТД».
ГОСТ Р-92 «Система сертификации ГОСТ. Основные положения».
Слайд 30
ГОСТ 28195-89 «Оценка качества программных средств. Общие положения».
ГОСТ ИСО/МЭК 9126-93 «Информационная
технология. Оценка программной продукции. Характеристика качества и руководства по их применению»
ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации».
РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей», 1999 г.
РД Гостехкомиссии России «Средства защиты информации. Специальные общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам», 2000 г.
ГОСТ 13661-92 «Совместимость технических средств электромагнитная. Пассивные помехоподавляющие фильтры и элементы. Методы измерения вносимого затухания».
ГОСТ 51318.22-2006 «Совместимость технических средств электромагнитная. Оборудование информационных технологий. Радиопомехи индустриальные. Нормы и методы измерений».
Слайд 31
СанПиН 2.2.2.542-96 «Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и
организация работы».
ГОСТ Р 50948-96. «Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности».
ГОСТ Р 50949-96 «Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности».
ГОСТ Р 50923-96 «Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения».
ГОСТ Р 50628-93 «Совместимость электромагнитная машин электронных вычислительных персональных. Устойчивость к электромагнитным помехам. Технические требования и методы испытаний».
ГОСТ Р 51320-99 «Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех».
ГОСТ Р 51319-99 «Совместимость технических средств электромагнитная. Приборы для измерения радиопомех. Технические требования и методы испытаний».
ПУЭ-2003 «Правила устройства электроустановок»
Слайд 32Требования к специалистам в области защиты информации
Специалисты должны иметь
специальное высшее образование в области защиты информации или высшее (среднее)техническое образование с переподготовкой на специальных курсах повышения квалификации.
Слайд 33Второй шаг к лицензии
Начальнику 2-го Управления
ФСТЭК России
Куцу А.В.
---------------------------------------------
103175, г. Москва,
К-175,
ул. Старая Басманная, д. 17
О лицензировании деятельности
в области защиты конфиденциальной
информации
Уважаемый Анатолий Владимирович !
В соответствии с Федеральным Законом Российской Федерации от 8 августа 2001 года № 128-ФЗ «О лицензировании отдельных видов деятельности» и Постановлением Правительства Российской Федерации от 15 августа 2006 г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации», Общество с ограниченной ответственностью «СевкавИнформЦентр», зарегистрированное ИФНС по г. Нальчику Кабардино-Балкарской Республики 18.04.2007, свидетельство о регистрации - серия 07, № 001401787, юридический адрес: Российская Федерация, 360000, Кабардино-Балкарская Республика, г. Нальчик, ул. Шогенова, (территория ОАО «НЗПП»), расчетный счет № 40702810320000000254 в банке «БУМ-БАНК», ООО г. Нальчик, ИНН 0721021470, ОКПО _____________ просит рассмотреть вопрос о выдаче лицензии на деятельность по защите конфиденциальной информации.
Копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств).
Копии документов, подтверждающих право собственности для осуществления лицензируемой деятельности, либо копии договоров аренды указанных помещений или безвозмездного пользования ими.
Копия аттестата соответствия защищаемых помещений требованиям безопасности конфиденциальной информации.
Копии технического паспорта автоматизированной системы с приложениями, акта классификации автоматизированной системы по требованиям безопасности конфиденциальной информации, плана размещения основных и вспомогательных технических средств и систем, аттестата соответствия АС.
Копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно- вычислительных машин и базы данных.
Сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования.
Сведения об имеющихся у соискателя лицензии нормативных правовых актов, нормативно-методических и методических документах по вопросам технической защиты конфиденциальной информации.
Копии учредительных документов (Устава).
Копия документа о государственной регистрации соискателя лицензии в качестве юридического лица.
Копия свидетельства о постановке соискателя лицензии на учет в налоговом органе.
Платежное поручение, подтверждающее уплату лицензионного сбора за рассмотрение лицензирующим органом заявления о предоставлении лицензии
Слайд 35Третий шаг к лицензии
Аттестация объектов информатизации- обязательное условие для получения лицензии.
Создание,
категорирование рабочих мест (производственные цеха и т.п.)
Слайд 36Четвертый учебный вопрос
«Аттестация объектов информатизации по требованиям безопасности»
Слайд 37Основные НМД по аттестации ОИ
ФЗ от 27.07.2006 № 149-ФЗ «Об информации,
информационных технологиях и о защите информации»
ФЗ от 29.07.2004 № 98-ФЗ «О коммерческой тайне»
СТР-К, Москва, 2002 г.
Сборник временных методик оценки защищен-ности конфиденциальной информации от утечки по техническим каналам, Гостехкомиссия России, 2002 г.
Слайд 38АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ ИНФОРМАЦИИ
Слайд 41Пятый учебный вопрос
Сертификация средств защиты информации
Слайд 42Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность
по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России (Гостехкомиссией России)
Слайд 43
Структура системы сертификации СЗИ по требованиям безопасности
Слайд 44Порядок проведения сертификации
Заявка
Заявка
Перечень испытательных центров
Представление
на утверждение
Регистрация и выдача сертификата
Копии
Слайд 45Перечень СЗИ, подлежащих сертификации
Технические средства защиты информации от утечки по техническим
каналам, включая средства контроля эф-фективности принятых мер защиты информации, основ-ные и вспомогательные технические средства и системы защиты информации.
Средства защиты информации (технические, програм-мные, программно-технические) от НСД, блокировки дос-тупа и нарушения целостности.
Средства контроля эффективности применения средств защиты информации.
Защищенные программные средства обработки инфор-мации.
Программные средства общего назначения.