Основные элементы организационной основы системы обеспечения информационной безопасности

Зарегистрируйтесь, чтобы просмотреть полный документ!

Основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации Президент Российской Федерации Совет Федерации Федерального Собрания РФ Государственная дума Федерального Собрания РФ Правительство РФ Совет безопасности РФ Федеральные органы исполнительной власти Межведомственные и государственные комиссии Органы исполнительной власти субъектов РФ Органы местного самоуправления Органы судебной власти Общественные объединения, граждане, принимающие участие в решении задач обеспечения информационной безопасности РФ

Государственная система защиты информации В федеральных округах Полномочный представитель Президента РФ в федеральном округе Совет по информационной безопасности и информатизации Управление ФСТЭК России по Ю и СК ФО Территориальные органы федеральных органов исполнительной власти Органы государственной и исполнительной власти субъектов РФ Организации – лицензиаты ФСТЭК России ВВУЗы, осуществляющие подготовку специалистов по ЗИ Предприятия и организации ОПК Общественные объединения, граждане, принимающие участие в решении задач обеспечения информационной безопасности РФ

Второй учебный вопрос Организация системы лицензирования в области ТЗКИ

Основные законодательные и нормативные акты лицензирования деятельности • Закон Российской Федерации «О государственной тайне от 21. 07. 1993 № 5485 -1 • ФЗ от 27. 07. 2006 № 149 -ФЗ «Об информации, информационных технологиях и о защите информации» • ФЗ от 08. 2001 № 128 - ФЗ «О лицензировании отдельных видов деятельности» • Постановление Правительства РФ от 26. 01. 2006 № 45 «Об организации лицензирования отдельных видов деятельности» • Постановление Правительства РФ от 15. 09. 2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» • Постановление Правительства РФ от 31. 08. 2006 № 532 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты информации»

Организационная структура системы лицензирования в области ЗКИ Президент РФ Определяет основные направления внутренней политики по ЗИ Правительство РФ Утверждает положения о лицензировании конкретных видов деятельности Определяет федеральные органы исполнительной власти, осуществляющие лицензирование конкретных видов деятельности Устанавливает виды деятельности, лицензирование которых осуществляется органами исполнительной власти субъектов РФ Лицензирующий орган (ФСТЭК России) Предоставляет, переоформляет, приостанавливает и возобновляет действие, аннулирует лицензии, ведет реестр лицензий, осуществляет контроль за соблюдением лицензионных требований Соискатель лицензии Направляет в лицензирующий орган: заявление о предоставлении лицензии и копии документов, указанных в ФЗ от 08. 2001 № 128 – ФЗ и в ПП РФ от 15. 08. 2006 № 504

Порядок лицензирования Лицензирующий орган Проверка полноты представленных сведений Заявление о предоставлении лицензии с приложениями Заявитель 45 дней Предоставление лицензии

Перечень документов для получения лицензии по ТЗКИ • • • • Заявление о предоставлении лицензии Копии учредительных документов и копия документа о государственной регистрации юридического лица Копия свидетельства о постановке соискателя на учет в налоговом органе Документ, подтверждающий уплату лицензионного сбора Сведения о квалификации работников соискателя лицензии Копии документов, подтверждающих квалификацию специалистов по ЗИ Копии документов, подтверждающих право собственности, либо копии договоров аренды Копии аттестатов соответствия ЗП требованиям безопасности информации Копии ТП АС, акта классификации АС, плана размещения ОТСС и ВТСС, аттестата соответствия АС Перечень защищаемых в АС ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описание технологического процесса обработки информации в АС Копии документов, подтверждающих право на используемые для осуществления лицензированной деятельности программы для ЭВМ и базы данных Сведения о наличии производственного и контрольно-измерительного оборудования, СЗИ и средств контроля защищенности информации с приложением копий документов о поверке Сведения об имеющихся нормативных правовых актах, нормативнометодических и методических документах по вопросам ТЗИ

Методика подготовки и проведения процедуры лицензирования деятельности

С чего начать? • Закупить контрольно-измерительную аппаратуру. • Создать рабочие места (экранированное сооружение, измерительная площадка, АРМ, ЗП). • Приобрести необходимую нормативно-методическую и методическую документацию, законодательные акты. • Создать подразделение по защите информации (назначить ответственного специалиста) и укомплектовать его подготовленными специалистами.

Требования к КИА Наименование работ Тип средств измерений, испытательное и производственное оборудование Обнаружение и измерение характеристик ПЭМИН Требуемые технические характеристики Селективные нано- и микровольтметры Анализатор спектра Измерительные антенны по электрической составляющей Диапазон частот: 9 к. Гц – 1 ГГц; Полоса пропускания: 0. 2, 9, 120 к. Гц; Чувствительность: не хуже 1 мк. В Измерительные антенны по магнитной составляющей Генератор сигналов Обнаружение и измерение наводок ПЭМИН в цепях и линиях ВТСС Измерение напряжений в слаботочных цепях Диапазон частот: 9 к. Гц - 30 МГц Диапазон частот: 9 к. Гц – 1 ГГц Измерительные щупы и пробники, сетевые режекторные фильтры Диапазон частот: 10 к. Гц – 250 МГц Селективные нано- и микровольтметры Диапазон частот: 10 к. Гц– 250 МГц; Полоса пропускания: 0. 2, 9, 120 к. Гц; Чувствительность: не хуже 1 мк. В Анализатор спектра Селективные нано- и микровольтметры Анализатор спектра Усилители специальные низкочастотные измерительные Диапазон частот: 0. 3 Гц– 3. 4 к. Гц; Полоса пропускания: 975 -1026 Гц; 0. 3 -3. 4 к. Гц; Чувствительность: не хуже 0. 1 мк. В

Наименование работ Тип средств измерений, испытательное и производственное оборудование Обнаружение радиоизлучений, модулированных информативным сигналом характеристики Селективные нано- и микровольтметры Анализатор спектра Измерительные антенны по электрической составляющей Измерительные антенны по магнитной составляющей Акустические и виброакустические измерения Требуемые технические Генератор шума Усилитель мощности Акустический излучатель Измеритель шума и вибрации Диапазон частот: 9 к. Гц – 1 ГГц; Полоса пропускания: 0. 2, 9, 120 к. Гц; Чувствительность: не хуже 1 мк. В Диапазон частот: 9 к. Гц - 30 МГц Диапазон частот: 175 -5600 Гц Уровень звукового давления: 90 д. Б Среднегеометрическая частота полосовых октавных фильтров: 250, 500, 1000, 2000, 4000 Гц Полосовые октавные фильтры Измерительные микрофоны Акселерометры Анализатор спектра Диапазон частот: 175 -5600 Гц Среднегеометрическая частота полосовых октавных фильтров: 250, 500, 1000, 2000, 4000 Гц

Наименование работ Тип средств измерений, испытательное и производственное оборудование Контроль защищенности информации ограниченного доступа Требуемые технические характеристики Средства автоматизированного формирования и проверки расширительной системы доступа к ресурсам АС Программа «Ревизор» , НКВД Программа «Terrier 3. 0» Средства анализа защищенности локальных вычислительных систем Проектирование АС различного уровня и назначения Программа «Фикс 2. 0. 1. » Система автоматизированного поиска остаточной информации на магнитных носителях Проведение сертификационных испытаний программных средств Средства контроля целостности программного обеспечения Сетевой сканер, ревизор сети Программы анализа исходных текстов Анализатор исходных тестов «АИСТ-С» , Эмулятор «ЭМУ» программ Средства фиксации исходного состояния программного обеспечения Программа «Фикс» Средства автоматизированного формирования и проверки расширительной системы доступа к ресурсам АС Программа «Ревизор» , НКВД

Наименование работ Тип средств измерений, испытательное и производственное оборудование Разработка программных средств Изготовление отчетных документов на аттестованных объектах ВТ характеристики Средства фиксации исходного состояния программного обеспечения Программа «ФИКС» АРМ, ЛВС Наличие аттестатов соответствия и лицензионного программного обеспечения Обсуждение вопросов в ЗП Разработка и испытания программных средств, проектирование АС Требуемые технические Наличие аттестатов соответствия Общесистемное и прикладное программное обеспечение Наличие лицензий на ПО

Документация Законодательные акты Нормативные и НМД Федеральные законы Положения, РД ФСТЭК России Указы Президента РФ Методики, рекомендации Постановления Правительства РФ Пособия ГОСТы

Основные НМД • • • Федеральный закон от 27 июля 2006 г. № 149 -ФЗ «Об информации, информационных технологиях и о защите информации» . Федеральный закон от 27 июля 2006 г. № 152 -ФЗ «О персональных данных» . Федеральный закон от 29 июля 2004 г. № 98 -ФЗ «О коммерческой тайне» . Федеральный закон от 8 августа 2001 г. № 128 -ФЗ «О лицензировании отдельных видов деятельности» . Федеральный закон от 10 января 2002 г. № 1 -ФЗ «Об электронной цифровой подписи» . Федеральный закон от 7 июля 2003 г. № 126 -ФЗ «О связи» . «Доктрина информационной безопасности Российской Федерации» , утвержденная Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895. Указ Президента Российской Федерации от 12 мая 2009 г. № 537 «О стратегии национальной безопасности Российской Федерации до 2020 года» . Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» .

• • Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» . Постановление Правительства Российской Федерации от 26 января 2006 г. № 45 «Об организации лицензирования отдельных видов деятельности» . Постановление Правительства Российской Федерации от 15 сентября 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» . Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации» . Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» . «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» , Москва, 2002 г. «Порядок проведения классификации информационных систем персональных данных» , утвержденный приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.

• « «Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации, не содержащей сведения, составляющие государственную тайну» утвержденное приказом ФСТЭК России от 29 марта 2009 г. № 191. • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» , утвержденная заместителем директора ФСТЭК России 15 февраля 2008 г. • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» , утвержденная заместителем директора ФСТЭК России 14 февраля 2008 г. • «Положение о методах и способах защиты информации в информационных системах персональных данных» , утвержденное Приказом ФСТЭК России от 19. 02. 2010 № 58.

• «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам» , Гостехкомиссия России, Москва, 2002 г. • «Сборник руководящих документов по защите информации от несанкционированного доступа» , Гостехкомиссия России, Москва, 1998 г. • «Пособие по реализации требований по технической защите информации при архитектурно-строительном проектировании объектов капитального строительства» , утвержденное заместителем директора ФСТЭК России 7 декабря 2006 г. • «Методические рекомендации по технической защите информации, составляющей коммерческую тайну» , утвержденные заместителем директора ФСТЭК России 25 декабря 2006 г. • «Пособие по организации технической защиты информации, составляющей коммерческую тайну» , утвержденное заместителем директора ФСТЭК России 25 декабря 2006 г.

• «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» , утвержденная заместителем директора ФСТЭК России 18 мая 2007 г. • «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» , утвержденная заместителем директора ФСТЭК России 18 мая 2007 г. • «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» , утвержденные заместителем директора ФСТЭК России 18 мая 2007 г. • «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры» , утвержденные заместителем директора ФСТЭК России 19 ноября 2007 г. • «Положение о реестре ключевых систем информационной инфраструктуры» , утвержденное приказом ФСТЭК России от 4 марта 2009 г. № 74. • ГОСТ Р 51275 -2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» . • ГОСТ Р 51583 -2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» .

• • • ГОСТ Р 51624 -2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» . ГОСТ Р 51188 -2006 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство» . ГОСТ Р 51241 -98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний» . ГОСТ 12. 1. 050 -86 «Методы измерения шума на рабочих местах» . ГОСТ Р ИСО 7498 -1 -99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Общие положения» . ГОСТ Р ИСО 7498 -2 -99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации» . ГОСТ 2. 114 -95 «Единая система конструкторской документации. Технические условия» . ГОСТ 2. 601 -95 «Единая система конструкторской документации. Эксплуатационные документы» . ГОСТ 34. 201 -89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» .

• • • ГОСТ 34. 602 -89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированных систем» . ГОСТ 34. 003 -90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» . РД Госстандарта СССР 50 -682 -89 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Общие положения» . РД Госстандарта СССР 50 -34. 698 -90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов» . РД Госстандарта СССР 50 -680 -89 «Методические указания. Автоматизированные системы. Основные положения» . ГОСТ 34. 601 -90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадия создания» . ГОСТ 6. 30 -2003 «Унифицированная система организационнораспорядительной документации. Требования к оформлению документов» . ГОСТ 6. 10 -84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники, ЕСКД, ЕСПД и ЕСТД» . ГОСТ Р-92 «Система сертификации ГОСТ. Основные положения» .

• ГОСТ 28195 -89 «Оценка качества программных средств. Общие положения» . • ГОСТ ИСО/МЭК 9126 -93 «Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению» • ГОСТ Р 50739 -95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации» . • РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» , 1999 г. • РД Гостехкомиссии России «Средства защиты информации. Специальные общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам» , 2000 г. • ГОСТ 13661 -92 «Совместимость технических средств электромагнитная. Пассивные помехоподавляющие фильтры и элементы. Методы измерения вносимого затухания» . • ГОСТ 51318. 22 -2006 «Совместимость технических средств электромагнитная. Оборудование информационных технологий. Радиопомехи индустриальные. Нормы и методы измерений» .

• • Сан. Пи. Н 2. 2. 2. 542 -96 «Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы» . ГОСТ Р 50948 -96. «Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности» . ГОСТ Р 50949 -96 «Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности» . ГОСТ Р 50923 -96 «Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения» . ГОСТ Р 50628 -93 «Совместимость электромагнитная машин электронных вычислительных персональных. Устойчивость к электромагнитным помехам. Технические требования и методы испытаний» . ГОСТ Р 51320 -99 «Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств источников индустриальных радиопомех» . ГОСТ Р 51319 -99 «Совместимость технических средств электромагнитная. Приборы для измерения радиопомех. Технические требования и методы испытаний» . ПУЭ-2003 «Правила устройства электроустановок»

Требования к специалистам в области защиты информации Специалисты должны иметь специальное высшее образование в области защиты информации или высшее (среднее)техническое образование с переподготовкой на специальных курсах повышения квалификации.

Второй шаг к лицензии Начальнику 2 -го Управления ФСТЭК России Куцу А. В. ----------------------103175, г. Москва, К-175, ул. Старая Басманная, д. 17 О лицензировании деятельности в области защиты конфиденциальной информации Уважаемый Анатолий Владимирович ! В соответствии с Федеральным Законом Российской Федерации от 8 августа 2001 года № 128 -ФЗ «О лицензировании отдельных видов деятельности» и Постановлением Правительства Российской Федерации от 15 августа 2006 г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации» , Общество с ограниченной ответственностью «Севкав. Информ. Центр» , зарегистрированное ИФНС по г. Нальчику Кабардино-Балкарской Республики 18. 04. 2007, свидетельство о регистрации - серия 07, № 001401787, юридический адрес: Российская Федерация, 360000, Кабардино-Балкарская Республика, г. Нальчик, ул. Шогенова, (территория ОАО «НЗПП» ), расчетный счет № 40702810320000000254 в банке «БУМ-БАНК» , ООО г. Нальчик, ИНН 0721021470, ОКПО _______ просит рассмотреть вопрос о выдаче лицензии на деятельность по защите конфиденциальной информации.

Приложение: • • • Копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств). Копии документов, подтверждающих право собственности для осуществления лицензируемой деятельности, либо копии договоров аренды указанных помещений или безвозмездного пользования ими. Копия аттестата соответствия защищаемых помещений требованиям безопасности конфиденциальной информации. Копии технического паспорта автоматизированной системы с приложениями, акта классификации автоматизированной системы по требованиям безопасности конфиденциальной информации, плана размещения основных и вспомогательных технических средств и систем, аттестата соответствия АС. Копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно- вычислительных машин и базы данных. Сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования. Сведения об имеющихся у соискателя лицензии нормативных правовых актов, нормативно-методических и методических документах по вопросам технической защиты конфиденциальной информации. Копии учредительных документов (Устава). Копия документа о государственной регистрации соискателя лицензии в качестве юридического лица. Копия свидетельства о постановке соискателя лицензии на учет в налоговом органе. Платежное поручение, подтверждающее уплату лицензионного сбора за рассмотрение лицензирующим органом заявления о предоставлении лицензии

Третий шаг к лицензии • Аттестация объектов информатизацииобязательное условие для получения лицензии. • Создание, категорирование рабочих мест (производственные цеха и т. п. )

Четвертый учебный вопрос «Аттестация объектов информатизации по требованиям безопасности»

Основные НМД по аттестации ОИ • ФЗ от 27. 07. 2006 № 149 -ФЗ «Об информации, информационных технологиях и о защите информации» • ФЗ от 29. 07. 2004 № 98 -ФЗ «О коммерческой тайне» • СТР-К, Москва, 2002 г. • Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам, Гостехкомиссия России, 2002 г.

АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ ИНФОРМАЦИИ

Пятый учебный вопрос Сертификация средств защиты информации

Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России (Гостехкомиссией России)

Структура системы сертификации СЗИ по требованиям безопасности Организационная структура ФСТЭК России Органы по сертификации СЗИ Заявители – изготовители, продавцы или потребители Испытательные лаборатории

Порядок проведения сертификации Регистрация и выдача сертификата Заявитель Заявка ФСТЭК России Перечень испытательных центров Заявка Представление на утверждение Испытательный центр (лаборатория) Разработка программы и методики проведения испытаний Испытание СЗИ Оформление протоколов и заключений Копии

Перечень СЗИ, подлежащих сертификации • Технические средства защиты информации от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы защиты информации. • Средства защиты информации (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности. • Средства контроля эффективности применения средств защиты информации. • Защищенные программные средства обработки информации. • Программные средства общего назначения.

Скачать презентацию Основные элементы организационной основы системы обеспечения информационной безопасности

Лицензирование и сертификация.ppt

Количество слайдов: 37