ЛекцияОрганизационные и технические требования и рекомендации по технической защите информации ограниченного доступа в органах презентация

Лекция Организационные и технические требования и рекомендации по технической защите информации ограниченного доступа в органах государственной власти, на ведомственных предприятиях, в организациях, учреждениях Система органов государственной власти и управления в сфере информатизации и информационной безопасности. Организация системы лицензирования деятельности в области ТЗИ, методика подготовки и проведения процедуры лицензирования деятельности, а также вопросы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации

Учебные вопросы 1. Система органов государственной власти и управления в сфере информатизации и информационной безопасности. 2. Организация системы лицензирования в области ТЗИ. 3 . Методика подготовки и проведения процедуры лицензирования деятельности. 4. Аттестация объектов информатизации по требованиям безопасности. 5. Сертификация средств защиты информации.

Первый учебный вопрос Система органов государственной власти и управления в сфере информатизации и информационной безопасности

Президент Российской Федерации руководит в пределах своих конституционных полномочий органами и силами по обеспечению информационной безопасности РФ; санкционирует действия по обеспечению информационной безопасности Российской Федерации; в соответствии с законодательством Российской Федерации формирует, реорганизует и упраздняет подчиненные ему органы и силы по обеспечению информационной безопасности Российской Федерации; определяет в своих ежегодных посланиях Федеральному Собранию приоритетные направления государственной политики в области обеспечения информационной безопасности Российской Федерации, а также меры по реализации настоящей Доктрины.

Палаты Федерального Собрания РФ на основе Конституции РФ по представлению Президента РФ и Правительства РФ формируют законодательную базу в области обеспечения информационной безопасности Российской Федерации. Правительство Российской Федерации в пределах своих полномочий и с учетом сформулированных в ежегодных посланиях Президента РФ Федеральному Собранию приоритетных направлений в области обеспечения информационной безопасности РФ координирует деятельность федеральных органов исполнительной власти и органов исполнительной власти субъектов РФ, а также при формировании в установленном порядке проектов федерального бюджета на соответствующие годы предусматривает выделение средств, необходимых для реализации федеральных программ в этой области.

Совет Безопасности Российской Федерации проводит работу по выявлению и оценке угроз информационной безопасности РФ, оперативно подготавливает проекты решений Президента РФ по предотвращению таких угроз, разрабатывает предложения в области обеспечения информационной безопасности РФ, координирует деятельность органов и сил по обеспечению информационной безопасности РФ, контролирует реализацию федеральными органами исполнительной власти и органами исполнительной власти субъектов РФ решений Президента РФ в этой области. Федеральные органы исполнительной власти обеспечивают исполнение законодательства РФ, решений Президента РФ и Правительства РФ в области обеспечения информационной безопасности РФ; в пределах своей компетенции разрабатывают нормативные правовые акты в этой области и представляют их в установленном порядке Президенту РФ и в Правительство РФ

Межведомственные и государственные комиссии решают в соответствии с предоставленными им полномочиями задачи обеспечения информационной безопасности Российской Федерации. Органы исполнительной власти субъектов РФ взаимодействуют с федеральными органами исполнительной власти по вопросам исполнения законодательства РФ, решений Президента РФ и Правительства РФ в области обеспечения информационной безопасности РФ, а также по вопросам реализации федеральных программ в этой области; совместно с органами местного самоуправления осуществляют мероприятия по привлечению граждан, организаций и общественных объединений к оказанию содействия в решении проблем обеспечения информационной безопасности РФ; вносят в федеральные органы исполнительной власти предложения по совершенствованию системы обеспечения информационной безопасности Российской Федерации

Органы местного самоуправления обеспечивают соблюдение законодательства Российской Федерации в области обеспечения информационной безопасности Российской Федерации. Органы судебной власти осуществляют правосудие по делам о преступлениях, связанных с посягательствами на законные интересы личности, общества и государства в информационной сфере, и обеспечивают судебную защиту граждан и общественных объединений, чьи права были нарушены в связи с деятельностью по обеспечению информационной безопасности Российской Федерации. В состав системы обеспечения информационной безопасности Российской Федерации могут входить подсистемы (системы), ориентированные на решение локальных задач в данной сфере.

Второй учебный вопрос Организация системы лицензирования в области ТЗКИ

Основные законодательные и нормативные акты лицензирования деятельности Закон Российской Федерации «О государственной тайне от 21.07.1993 № 5485-1 ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» ФЗ от 08.08.2001 № 128 - ФЗ «О лицензировании отдельных видов деятельности» Постановление Правительства РФ от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности» Постановление Правительства РФ от 15.09.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» Постановление Правительства РФ от 31.08.2006 № 532 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты информации»

Организационная структура системы лицензирования в области ЗКИ

Порядок лицензирования

Перечень документов для получения лицензии по ТЗКИ Заявление о предоставлении лицензии Копии учредительных документов и копия документа о государственной регистрации юридического лица Копия свидетельства о постановке соискателя на учет в налоговом органе Документ, подтверждающий уплату лицензионного сбора Сведения о квалификации работников соискателя лицензии Копии документов, подтверждающих квалификацию специалистов по ЗИ Копии документов, подтверждающих право собственности, либо копии договоров аренды Копии аттестатов соответствия ЗП требованиям безопасности информации Копии ТП АС, акта классификации АС, плана размещения ОТСС и ВТСС, аттестата соответствия АС Перечень защищаемых в АС ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описание технологического процесса обработки информации в АС Копии документов, подтверждающих право на используемые для осуществления лицензированной деятельности программы для ЭВМ и базы данных Сведения о наличии производственного и контрольно-измерительного оборудования, СЗИ и средств контроля защищенности информации с приложением копий документов о поверке Сведения об имеющихся нормативных правовых актах, нормативно-методических и методических документах по вопросам ТЗИ

Третий учебный вопрос Методика подготовки и проведения процедуры лицензирования деятельности

С чего начать? Закупить контрольно-измерительную аппаратуру. Создать рабочие места (экранированное сооружение, измерительная площадка, АРМ, ЗП). Приобрести необходимую нормативно-методическую и методическую документацию, законодательные акты. Создать подразделение по защите информации (назначить ответственного специалиста) и укомплектовать его подготовленными специалистами.

Требования к КИА

Основные НМД Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне». Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности». Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи». Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи». «Доктрина информационной безопасности Российской Федерации», утвержденная Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895. Указ Президента Российской Федерации от 12 мая 2009 г. № 537 «О стратегии национальной безопасности Российской Федерации до 2020 года». Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».

Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти». Постановление Правительства Российской Федерации от 26 января 2006 г. № 45 «Об организации лицензирования отдельных видов деятельности». Постановление Правительства Российской Федерации от 15 сентября 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации». Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации». Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», Москва, 2002 г. «Порядок проведения классификации информационных систем персональных данных», утвержденный приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20.

« «Положение по защите информации при использовании оборудования с числовым программным управлением, предназначенного для обработки информации, не содержащей сведения, составляющие государственную тайну» утвержденное приказом ФСТЭК России от 29 марта 2009 г. № 191. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная заместителем директора ФСТЭК России 15 февраля 2008 г. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная заместителем директора ФСТЭК России 14 февраля 2008 г. «Положение о методах и способах защиты информации в информационных системах персональных данных», утвержденное Приказом ФСТЭК России от 19.02.2010 № 58.

«Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», Гостехкомиссия России, Москва, 2002 г. «Сборник руководящих документов по защите информации от несанкционированного доступа», Гостехкомиссия России, Москва, 1998 г. «Пособие по реализации требований по технической защите информации при архитектурно-строительном проектировании объектов капитального строительства», утвержденное заместителем директора ФСТЭК России 7 декабря 2006 г. «Методические рекомендации по технической защите информации, составляющей коммерческую тайну», утвержденные заместителем директора ФСТЭК России 25 декабря 2006 г. «Пособие по организации технической защиты информации, составляющей коммерческую тайну», утвержденное заместителем директора ФСТЭК России 25 декабря 2006 г.

«Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры», утвержденная заместителем директора ФСТЭК России 18 мая 2007 г. «Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры», утвержденная заместителем директора ФСТЭК России 18 мая 2007 г. «Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры», утвержденные заместителем директора ФСТЭК России 18 мая 2007 г. «Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры», утвержденные заместителем директора ФСТЭК России 19 ноября 2007 г. «Положение о реестре ключевых систем информационной инфраструктуры», утвержденное приказом ФСТЭК России от 4 марта 2009 г. №74. ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения». ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».

ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования». ГОСТ Р 51188-2006 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство». ГОСТ Р 51241-98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний». ГОСТ 12.1.050-86 «Методы измерения шума на рабочих местах». ГОСТ Р ИСО 7498-1-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Общие положения». ГОСТ Р ИСО 7498-2-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации». ГОСТ 2.114-95 «Единая система конструкторской документации. Технические условия». ГОСТ 2.601-95 «Единая система конструкторской документации. Эксплуатационные документы». ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем».

ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированных систем». ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения». РД Госстандарта СССР 50-682-89 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Общие положения». РД Госстандарта СССР 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов». РД Госстандарта СССР 50-680-89 «Методические указания. Автоматизированные системы. Основные положения». ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадия создания». ГОСТ 6.30-2003 «Унифицированная система организационно-распорядительной документации. Требования к оформлению документов». ГОСТ 6.10-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники, ЕСКД, ЕСПД и ЕСТД». ГОСТ Р-92 «Система сертификации ГОСТ. Основные положения».

ГОСТ 28195-89 «Оценка качества программных средств. Общие положения». ГОСТ ИСО/МЭК 9126-93 «Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению» ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации». РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей», 1999 г. РД Гостехкомиссии России «Средства защиты информации. Специальные общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам», 2000 г. ГОСТ 13661-92 «Совместимость технических средств электромагнитная. Пассивные помехоподавляющие фильтры и элементы. Методы измерения вносимого затухания». ГОСТ 51318.22-2006 «Совместимость технических средств электромагнитная. Оборудование информационных технологий. Радиопомехи индустриальные. Нормы и методы измерений».

СанПиН 2.2.2.542-96 «Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы». ГОСТ Р 50948-96. «Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности». ГОСТ Р 50949-96 «Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности». ГОСТ Р 50923-96 «Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения». ГОСТ Р 50628-93 «Совместимость электромагнитная машин электронных вычислительных персональных. Устойчивость к электромагнитным помехам. Технические требования и методы испытаний». ГОСТ Р 51320-99 «Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех». ГОСТ Р 51319-99 «Совместимость технических средств электромагнитная. Приборы для измерения радиопомех. Технические требования и методы испытаний». ПУЭ-2003 «Правила устройства электроустановок»

Требования к специалистам в области защиты информации Специалисты должны иметь специальное высшее образование в области защиты информации или высшее (среднее)техническое образование с переподготовкой на специальных курсах повышения квалификации.

Второй шаг к лицензии Начальнику 2-го Управления ФСТЭК России Куцу А.В. --------------------------------------------- 103175, г. Москва, К-175, ул. Старая Басманная, д. 17 О лицензировании деятельности в области защиты конфиденциальной информации Уважаемый Анатолий Владимирович ! В соответствии с Федеральным Законом Российской Федерации от 8 августа 2001 года № 128-ФЗ «О лицензировании отдельных видов деятельности» и Постановлением Правительства Российской Федерации от 15 августа 2006 г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации», Общество с ограниченной ответственностью «СевкавИнформЦентр», зарегистрированное ИФНС по г. Нальчику Кабардино-Балкарской Республики 18.04.2007, свидетельство о регистрации - серия 07, № 001401787, юридический адрес: Российская Федерация, 360000, Кабардино-Балкарская Республика, г. Нальчик, ул. Шогенова, (территория ОАО «НЗПП»), расчетный счет № 40702810320000000254 в банке «БУМ-БАНК», ООО г. Нальчик, ИНН 0721021470, ОКПО _____________ просит рассмотреть вопрос о выдаче лицензии на деятельность по защите конфиденциальной информации.

Приложение: Копии документов, подтверждающих квалификацию специалистов по защите информации (дипломов, удостоверений, свидетельств). Копии документов, подтверждающих право собственности для осуществления лицензируемой деятельности, либо копии договоров аренды указанных помещений или безвозмездного пользования ими. Копия аттестата соответствия защищаемых помещений требованиям безопасности конфиденциальной информации. Копии технического паспорта автоматизированной системы с приложениями, акта классификации автоматизированной системы по требованиям безопасности конфиденциальной информации, плана размещения основных и вспомогательных технических средств и систем, аттестата соответствия АС. Копии документов, подтверждающих право на используемые для осуществления лицензируемой деятельности программы для электронно- вычислительных машин и базы данных. Сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования. Сведения об имеющихся у соискателя лицензии нормативных правовых актов, нормативно-методических и методических документах по вопросам технической защиты конфиденциальной информации. Копии учредительных документов (Устава). Копия документа о государственной регистрации соискателя лицензии в качестве юридического лица. Копия свидетельства о постановке соискателя лицензии на учет в налоговом органе. Платежное поручение, подтверждающее уплату лицензионного сбора за рассмотрение лицензирующим органом заявления о предоставлении лицензии

Третий шаг к лицензии Аттестация объектов информатизации- обязательное условие для получения лицензии. Создание, категорирование рабочих мест (производственные цеха и т.п.)

Четвертый учебный вопрос «Аттестация объектов информатизации по требованиям безопасности»

Основные НМД по аттестации ОИ ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» ФЗ от 29.07.2004 № 98-ФЗ «О коммерческой тайне» СТР-К, Москва, 2002 г. Сборник временных методик оценки защищен-ности конфиденциальной информации от утечки по техническим каналам, Гостехкомиссия России, 2002 г.

АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ ИНФОРМАЦИИ

Пятый учебный вопрос

Под сертификацией средств защиты информации по требованиям безопасности информации понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России (Гостехкомиссией России)

Структура системы сертификации СЗИ по требованиям безопасности

Порядок проведения сертификации

Перечень СЗИ, подлежащих сертификации Технические средства защиты информации от утечки по техническим каналам, включая средства контроля эф-фективности принятых мер защиты информации, основ-ные и вспомогательные технические средства и системы защиты информации. Средства защиты информации (технические, програм-мные, программно-технические) от НСД, блокировки дос-тупа и нарушения целостности. Средства контроля эффективности применения средств защиты информации. Защищенные программные средства обработки инфор-мации. Программные средства общего назначения.