
266.pptx
- Количество слайдов: 30
СЕРТИФИКАЦИЯ СЗИ, ОГРАНИЧЕННОГО ДОСТУПА НЕ СОДЕРЩЕЙ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ 1
Информация, не содержащая сведения, составляющие гос. тайну ПП РФ 266 ПП РФ 330 Загранучреждения (все защищаемая информация) ПДн, Защищаемый гос. информационный ресурс 2
ТЕРМИНЫ и ОПРЕДЕЛЕНИЯ Защита информации конфиденциального характера - комплекс правовых, организационных и технических мер, направленных на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, иных неправомерных действий в отношении такой информации, а также на соблюдение конфиденциальности информации и реализацию права на доступ к ней Обязательные требования обязательные для применения и исполнения требования по безопасности информации конфиденциального характера, предъявляемые к продукции (работам, услугам) и процессам, установленные нормативными правовыми актами Российской Федерации, решениями федерального органа исполнительной власти, принятыми. в пределах его полномочий, устанавливающими указанные требования; Продукция средства, предназначенные для защиты информации конфиденциального характера, средства, в которых они реализованы, а также средства контроля эффективности защиты информации 3
ТЕРМИНЫ и ОПРЕДЕЛЕНИЯ Работа - деятельность, которая направлена на разработку и (или) практическое применение методов, способов и средств защиты информации конфиденциального характера, результаты которой имеют материальное выражение и могут быть реализованы для потребностей защиты информации конфиденциального характера Уполномоченные ФОИВ - ФОИВ, уполномоченный в области обороны, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, устанавливающие в пределах их компетенции обязательные требования Услуга деятельность, которая направлена на обеспечение защиты информации конфиденциального характера, результаты которой не имеют материального выражения и реализуются (потребляются) в процессе осуществления такой деятельности. 4
ПП РФ № 266 ПОЛОЖЕНИЕ ОБ ОСОБЕННОСТЯХ ОЦЕНКИ СООТВЕТСТВИЯ ПРОДУКЦИИ (РАБОТ, УСЛУГ), ИСПОЛЬЗУЕМОЙ В ЦЕЛЯХ ЗАЩИТЫ СВЕДЕНИЙ СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ ИЛИ ОТНОСИМЫХ К ОХРАНЯЕМОЙ В СООТВЕТСТВИИ С ЗАКОНОДАТЕЛЬСТВОМ РОССИЙСКОЙ ФЕДЕРАЦИИ ИНОЙ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА И ПРОДУКЦИИ (РАБОТ, УСЛУГ), СВЕДЕНИЯ О КОТОРОЙ СОСТАВЛЯЮТ ГОСУДАРСТВЕННУЮ ТАЙНУ, ПРЕДНАЗНАЧЕННОЙ ДЛЯ ЭКСПЛУАТАЦИИ В ЗАГРАНУЧРЕЖДЕНИЯХ РОССИЙСКОЙ ФЕДЕРАЦИИ А ТАКЖЕ ПРОЦЕССОВ ЕЕ ПРОЕКТИРОВАНИЯ (ВКЛЮЧАЯ ИЗЫСКАНИЯ), ПРОИЗВОДСТВА, СТРОИТЕЛЬСТВА, МОНТАЖА, НАЛАДКИ, ЭКСПЛУАТАЦИИ, ХРАНЕНИЯ, ПЕРЕВОЗКИ, РЕАЛИЗАЦИИ, УТИЛИЗАЦИИ И ЗАХОРОНЕНИЯ ОБ ОСОБЕННОСТЯХ АККРЕДИТАЦИИ ОРГАНОВ ПО СЕРТИФИКАЦИИ И ИСПЫТАТЕЛЬНЫХ ЛАБОРАТОРИЙ (ЦЕНТРОВ), ВЫПОЛНЯЮЩИХ РАБОТЫ ПО ПОДТВЕРЖДЕНИЮ СООТВЕТСТВИЯ УКАЗАННОЙ ПРОДУКЦИИ (РАБОТ, УСЛУГ) И О ВНЕСЕНИИ ИЗМЕНЕНИЯ В ПОЛОЖЕНИЕ О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ 5
ПП РФ № 266 Устанавливает особенности оценки соответствия продукции (работ, услуг) используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения (далее соответственно - продукция (работы, услуги), процессы) 6
ПП РФ № 266 Оценка соответствия продукции (работ, услуг) и процессов осуществляется в целях определения их соответствия установленным обязательным требованиям и (или) требованиям по защите информации (далее - оценка соответствия). Особенностями оценки соответствия являются: необходимость защиты сведений, составляющих государственную тайну, и (или) иных сведений ограниченного доступа; установление требований к продукции (работам, услугам) и процессам с учетом требований по защите информации; установление требований к заявителям на осуществление обязательной сертификации продукции, к органам по сертификации и испытательным лабораториям (центрам) в соответствии с законодательством Российской Федерации о государственной и иной охраняемой законом тайне; особенности аккредитации органов по сертификации и испытательных лабораторий (центров); принципы подтверждения соответствия продукции (работ, услуг). 7
ПП РФ № 266 Оценка соответствия проводится в формах обязательной сертификации и государственного контроля (надзора). Полномочия по аккредитации органов по сертификации и испытательных лабораторий (центров)… осуществляет федеральный орган исполнительной власти, уполномоченный в области внешней разведки 8
ПП РФ № 266 Аккредитация органа по сертификации и (или) испытательной лаборатории (центра), выполняющих работы по подтверждению соответствия продукции (работ, услуг) осуществляется органом по аккредитации в установленном законодательством Российской Федерации порядке с учетом следующих особенностей: наличие выданной в установленном порядке лицензии на допуск к проведению работ за рубежом, связанных с использованием сведений, составляющих государственную тайну (в случае, если выполнение работ по подтверждению соответствия связано с использованием сведений, составляющих государственную тайну), - для аккредитации органа по сертификации; наличие выданных в установленном порядке лицензии на допуск к проведению работ за рубежом, связанных с использованием сведений, составляющих государственную тайну (в случае, если выполнение работ по подтверждению соответствия связано с использованием сведений, составляющих государственную тайну), и лицензии на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны в загранучреждениях Российской Федерации - для аккредитации испытательной лаборатории (центра). 9
ПП РФ № 266 Настоящее Положение не распространяется на особенности оценки соответствия средств криптографической защиты информации, предназначенных для эксплуатации в загранучреждениях Российской Федерации, а также процессов, связанных с такими средствами. Оценка соответствия продукции (работ, услуг) и процессов осуществляется в целях определения их соответствия установленным обязательным требованиям и (или) требованиям по защите информации. 10
ПОЛОЖЕНИЕ об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения 11
СФЕРА ДЕЙСТВИЯ Устанавливает особенности оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну (далее - информация конфиденциального характера), а также процессов ее проектирования (включая изыскания), производства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции (далее - процессы) Не распространяется на продукцию (работы, услуги), используемую в целях защиты информации конфиденциального характера, не являющейся государственным информационным ресурсом и (или) персональными данными, а также на связанные с ней процессы. 12
Оценка соответствия В целях определения соответствия продукции (работ, услуг) и процессов установленным обязательным требованиям осуществляется оценка их соответствия Особенностями оценки соответствия являются: а) необходимость защиты информации ограниченного доступа; б) установление требований к продукции (работам, услугам) и процессам, методам и способам защиты информации конфиденциального характера; в) особенности аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия продукции (работ, услуг); г) принципы подтверждения соответствия продукции (работ, услуг); д) установление требований к заявителям на осуществление обязательной сертификации продукции, а также к органам по сертификации и испытательным лабораториям (центрам), выполняющим работы по подтверждению соответствия продукции (работ, услуг) 13
Оценка соответствия Деятельность по оценке соответствия осуществляется с учетом ограничений, устанавливаемых в соответствии с законодательством Российской Федерации о государственной тайне, об информации, информационных технологиях и о защите информации, а также в соответствии с нормативными правовыми актами Российской Федерации в области защиты прав на результаты интеллектуальной деятельности. Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). Объектом обязательной сертификации является продукция. Объектом государственного контроля (надзора) являются продукция (работы, услуги) и процессы 14
Оценка соответствия Организация и проведение обязательной сертификации продукции осуществляются в порядке, определяемом уполномоченным федеральным органом исполнительной власти в пределах его компетенции. Государственный контроль (надзор) за соответствием продукции (работ, услуг) и процессов обязательным требованиям осуществляется уполномоченным федеральным органом исполнительной власти в пределах его полномочий в соответствии с законодательством Российской Федерации 15
АТТЕСТАЦИЯ Положение по аттестации объектов информатизации по требованиям безопасности информации Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г 16
ОБЩИЕ ПОЛОЖЕНИЯ Положение устанавливает основные принципы, организационную структуру системы аттестации объектов инфоpматизации по требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации Система аттестации объектов информатизации по требованиям безопасности информации (далее - система аттестации) является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее - федеральный орган по сертификации и аттестации), которым является Гостехкомиссия России 17
ОБЩИЕ ПОЛОЖЕНИЯ Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров 18
ОБЩИЕ ПОЛОЖЕНИЯ В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации 19
АТТЕСТАЦИЯ «Аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации 20
АТТЕСТАЦИЯ В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации 21
ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ И НАДЗОР Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится ФСТЭК России как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных объектов информатизации - периодически в соответствии с планами работы по контролю и надзору. Государственный контроль и надзор за соблюдением правил аттестации включает проверку правильности и полноты проводимых мероприятий по аттестации объектов информатизации, оформления и рассмотрения органами по аттестации отчетных документов и протоколов испытаний, своевременное внесение изменений в нормативную и методическую документацию по безопасности информации, инспекционный контроль за эксплуатацией аттестованных объектов информатизации 22
ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ И НАДЗОР В случае грубых нарушений органом по аттестации требований стандартов или иных нормативных и методических документов по безопасности информации, выявленных при контроле и надзоре, орган по аттестации может быть лишен лицензии на право проведения аттестации объектов информатизации При выявлении нарушения правил эксплуатации аттестованных объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации органом, проводящим контроль и надзор, может быть приостановлено или аннулировано действие "Аттестата соответствия", с оформлением этого решения в "Аттестате соответствия" и информированием органа, ведущего сводную информационную базу аттестованных объектов информатики, и Гостехкомиссии России 23
ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ И НАДЗОР Решение об аннулиpовании действия "Аттестата соответствия" принимается в случае, когда в результате оперативного принятия организационно-технических мер защиты не может быть восстановлен требуемый уровень безопасности информации 24
ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ И НАДЗОР Комиссия ФСТЭК Разбор нарушения нарушение Владелец ОИ проверка Орган по аттестации Регрессные требования ПЕРИОДИЧЕСКИЙ КОНТРОЛЬ Лицензиат, проводивший КЭ Заявка Несоответствие Орган по аттестации Владелец ОИ Регрессные требования 25
ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ И НАДЗОР 1. Помещения – ежегодный контроль принятых мер и установленных средств защиты. 2. АС САЗ ПЭМИН – ежегодный контроль эффективности САЗ; НСД – в зависимости от класса. 26
НЕОБХОДИМОСТЬ ПРОДЛЕНИЯ СЕРТИФИКАТА НА СЗИ 27
ПОРЯДОК ПРОДЛЕНИЯ СЕРТИФИКАТА НА СЗИ До окончания срока действия сертификата Организация Производитель СЗИ Заявка, Протоколы оценки эффективности применения СЗИ или Протоколы оценки защищенности информации… оформленные не ранее 12 месяцев ФСТЭК России 28
Протокол (ТКУИ) Оценка применения СЗИ Идентификационная информация СЗИ (зав. №, номер голографического знака соответствия, номер и срок действия сертификата соответствия) 29
Протокол (НСД) Оценки защищенности информатизации, от НСД информации, обрабатываемой на объекте Идентификационная информация СЗИ (зав. №, номер голографического знака соответствия, номер и срок действия сертификата соответствия) Контрольного суммирования (оформленный не раннее 1 месяца до отправки письма о продлении) Идентификационная информация о средстве контроля защищенности, с помощью которого проводилось контрольное суммирование, дата проведения контрольного суммирования, вывод о соответствии полученных сумм, суммам, приведенным в формуляре (паспорте) 30