Разделы презентаций


Система лицензирования и сертификации продукции и услуг по требованиям безопасности информации

Содержание

Система лицензирования деятельности в области защиты государственной тайны в части ПД ТР и ТЗИ, а также технической защиты конфиденциальной информации

Слайды и текст этой презентации

Слайд 1Система лицензирования и сертификации продукции и услуг по требованиям безопасности

информации

БОНДАРЕВ ВАЛЕРИЙ ВАСИЛЬЕВИЧ
МГТУ им. Н.Э. Баумана

Система лицензирования и сертификации продукции и услуг по требованиям безопасности информацииБОНДАРЕВ ВАЛЕРИЙ ВАСИЛЬЕВИЧМГТУ им. Н.Э. Баумана

Слайд 2Система лицензирования деятельности в области защиты государственной тайны в части

ПД ТР и ТЗИ, а также технической защиты конфиденциальной информации

Система лицензирования деятельности в области защиты государственной тайны в части ПД ТР и ТЗИ, а также технической

Слайд 3
ИНФОРМАЦИОННЫЕ РЕСУРСЫ ПО КАТЕГОРИЯМ ДОСТУПА (ФЗ «Об информации, информатизации и защите

информации»)

Открытая
информация

Информация с ограниченным доступом
Информация, отнесенная к гостайне

Конфиденциальная информация
«О перечне сведений, отнесенных

к государственной тайне»
( 24.01.98 № 61)

«Об утверждении перечня сведений
конфиденциального характера»
(06.03.97 № 188)

1

ИНФОРМАЦИОННЫЕ РЕСУРСЫ ПО КАТЕГОРИЯМ ДОСТУПА (ФЗ «Об информации, информатизации и защите информации») Открытая информацияИнформация с ограниченным доступомИнформация,

Слайд 4ЗАКОНОДАТЕЛЬНАЯ БАЗА ЛИЦЕНЗИРОВАНИЯ ДЕЯТЕЛЬНОСТИ ПО ЗАЩИТЕ ГОСТАЙНЫ

Федеральный

закон от 8.08.2001 г. № 128-ФЗ «О лицензировании отдельных видов

деятельности»

2

Закон Российской Федерации 1993 г. № 5485-1 «О государственной тайне»

Закон Российской Федерации 1996 г. № 85-ФЗ «О международном информационном обмене»

Указ Президента Российской Федерации 1999 г. № 212 «Вопросы государственной технической комиссии при Президенте Российской Федерации»

Постановление Правительства Российской Федерации 1995 г. № 333 «О лицензировании деятельности предприятий и организаций по проведению работ, связанных с использованием сведений составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»

ЗАКОНОДАТЕЛЬНАЯ БАЗА ЛИЦЕНЗИРОВАНИЯ ДЕЯТЕЛЬНОСТИ ПО ЗАЩИТЕ ГОСТАЙНЫ   Федеральный закон от 8.08.2001 г. № 128-ФЗ «О

Слайд 5 Основные правовые и организационно-распорядительные документы, определяющие организацию, порядок

и правила проведения работ по лицензированию деятельности предприятий (учреждений, организаций)
3

Основные правовые и организационно-распорядительные документы, определяющие организацию, порядок и правила проведения работ по лицензированию деятельности

Слайд 6
ФСБ России, МО РФ, СВР РФ, Гостехкомиссия

России
свои предприятия
по допуску предприятий к проведению работ, связанных с
использованием

сведений, составляющих государственную тайну

на право проведения работ, связанных с созданием средств
защиты информации

на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны

ФСБ России

СВР РФ

Гостехкомиссия
России

ФСБ России

СВР РФ

ОРГАНЫ, УПОЛНОМОЧЕННЫЕ НА ВЕДЕНИЕ ЛИЦЕНЗИОННОЙ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ

(Координируется межведомственной комиссией по защите гостайны)

4

ФСБ России, МО РФ, СВР РФ, Гостехкомиссия Россиисвои предприятияпо допуску предприятий к проведению работ,

Слайд 7РАБОТЫ И УСЛУГИ, ЛИЦЕНЗИРУЕМЫЕ ГОСТЕХКОМИССИЕЙ РОССИИ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ



5
ПРОВЕДЕНИЕ

МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ


(в части проведения специальных экспертиз)

ПРОВЕДЕНИЕ РАБОТ, СВЯЗАННЫХ С СОЗДАНИЕМ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ
(в части технической защиты информации)

ОСУЩЕСТВЛЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ
(в части противодействия техническим разведкам)

РАБОТЫ И УСЛУГИ, ЛИЦЕНЗИРУЕМЫЕ ГОСТЕХКОМИССИЕЙ РОССИИ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ5ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В

Слайд 8 проектирование объектов в защищенном исполнении
(автоматизированных систем различного

уровня и назначения; систем связи, приема, обработки и передачи данных;

систем отображения и размножения; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения секретных переговоров)

проведение специальных исследований на ПЭМИН технических средств обработки информации

контроль защищенности информации, составляющей государственную тайну, аттестация средств и систем на соответствие требованиям по защите информации
(АС различного уровня и назначения, систем связи, приема, обработки и передачи данных, систем отображения и размножения; технических средств (систем), не обрабатывающих информацию, составляющей государственную тайну, но размещенные в помещениях, где она обрабатывается; помещений со средствами (системами), подлежащими защите; помещений, предназначенных для ведения секретных переговоров)

1. ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ (в части технической защиты информации)




сертификация и сертификационные испытания
(технических СЗИ; защищенных ТСОИ; технических средств контроля эффективности мер ЗИ; программных (программно-технических) СЗИ; защищенных программных (программно-технических) СОИ; программных (программно-технических) средств контроля защищенности информации



6

проектирование объектов в защищенном исполнении (автоматизированных систем различного уровня и назначения; систем связи, приема, обработки

Слайд 92. ВЫПОЛНЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ

ГОСУДАРСТВЕННОЙ ТАЙНЫ (в части противодействия техническим разведкам)



7
Радиоэлектронная










ВИДЫ ТЕХНИЧЕСКОЙ
РАЗВЕДКИ

Сейсмическая
Химическая
Фотографическая
Магнитометрическая
Визуальная
оптическая
Компьютерная
Радио
Радиотехническая
ПЭМИН
Радиолокационная
видовая
Радиолокационная
параметрическая
Радиотепловая
Гидроакустическая





Шумовых полей
Видовая

Параметрическая

Сигнальная

Звукоподводной
связи
Акустическая





Речевая
Сигнальная
Оптико-
Электронная









Лазерных

излучений

Инфракрасная
параметрическая
(теплопеленгационная)

Визуальная

Инфракрасная
видовая
(тепловизионная)

Телевизионная

Радиационная

25 видов

2. ВЫПОЛНЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ (в части противодействия техническим разведкам)7РадиоэлектроннаяВИДЫ

Слайд 103. ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ

ГОСУДАРСТВЕННОЙ ТАЙНЫ (в части проведения специальных экспертиз)



проведение специальных

экспертиз организаций – соискателей лицензии Гостехкомиссии России на оказание услуг в области защиты государственной тайны (в части технической защиты информации)




8

проведение специальных экспертиз организаций – соискателей лицензии Гостехкомиссии России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части противодействия техническим разведкам)

проведение специальных экспертиз организаций – соискателей лицензии Гостехкомиссии России на выполнение работ, связанных с созданием средств защиты информации

3. ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ И (ИЛИ) ОКАЗАНИЕ УСЛУГ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ  (в части проведения специальных

Слайд 114. ПРОВЕДЕНИЕ РАБОТ, СВЯЗАННЫХ С СОЗДАНИЕМ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ



Разработка, производство, реализация,

установка, монтаж, наладка, испытания, ремонт, сервисное обслуживание:

9
технических средств защиты информации;

защищенных технических средств обработки информации
технических средств контроля эффективности мер защиты информации;
программных (программно-технических) средств защиты информации
защищенных программных (программно-технических) средств обработки информации
программных (программно-технических) средств контроля защищенности информации
4. ПРОВЕДЕНИЕ РАБОТ, СВЯЗАННЫХ С СОЗДАНИЕМ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИРазработка, производство, реализация, установка, монтаж, наладка, испытания, ремонт, сервисное

Слайд 12 эксперты
учетная карта
заявителя,
заключение
7
Управление Гостехкомиссии России
по федеральному округу

экспертная комиссия

уведомление
лицензия
(отказ
в выдаче)
заявка
Организация-соискатель
лицензии
1
материалы
экспертизы
6
8
Аттестационный центр
список
аттеста-
ционных
центров
2
Центральный

аппарат Гостехкомиссии России

5

3

договор,
экспертиза,
документы

10

СХЕМА ЛИЦЕНЗИРОВАНИЯ В ОБЛАСТИ ЗАЩИТЫ ГОСУДАРСТВЕННОЙ ТАЙНЫ (в соответствии с Приказом Гостехкомиссии России от 25.09.2002г. № 312)

4

экспертыучетная карта заявителя,заключение7Управление Гостехкомиссии Россиипо федеральному округуэкспертная комиссия уведомлениелицензия (отказ в выдаче) заявкаОрганизация-соискательлицензии1 материалы экспертизы68Аттестационный

Слайд 13 
 
ПРОЕКТ
 
 


ИНСТРУКЦИЯ
по организации и порядку проведения специальных экспертиз организаций при лицензировании

деятельности по проведению работ, связанных с созданием средств защиты информации,

а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны (в части противодействия иностранным техническим разведкам и технической защиты информации)

11

  ПРОЕКТ  ИНСТРУКЦИЯпо организации и порядку проведения специальных экспертиз организаций при лицензировании деятельности по проведению работ, связанных с созданием

Слайд 14Специальные экспертизы организаций - соискателей лицензий Гостехкомиссии России проводятся:
Гостехкомиссией России;

Управлениями Гостехкомиссии России по федеральным округам;
Государственным научно-исследовательским испытательным институтом

проблем технической защиты информации Гостехкомиссии России;
Отраслевыми аттестационными центрами;
Региональными аттестационными центрами.

ОСНОВНЫЕ ПОЛОЖЕНИЯ ИНСТРУКЦИИ…

12


Специальные экспертизы проводятся с целью оценки фактической готовности выполнения соискателем следующих требований:
Соблюдения законодательства Российской Федерации, государственных стандартов Российской Федерации;


В состав экспертных комиссий аттестационных центров могут включаться сотрудники
Центрального аппарата Гостехкомиссии России
Управлений Гостехкомиссии России по федеральным округам
ГНИИИ ПТЗИ.

Специальные экспертизы организаций - соискателей лицензий Гостехкомиссии России проводятся:Гостехкомиссией России; Управлениями Гостехкомиссии России по федеральным округам; Государственным

Слайд 15ОСНОВНЫЕ ПОЛОЖЕНИЯ ИНСТРУКЦИИ…
(продолжение)
13

Специальные экспертизы проводятся с целью оценки фактической

готовности выполнения соискателем следующих требований:
1. Соблюдения законодательства Российской Федерации, государственных стандартов

Российской Федерации

2. Выполнения требований нормативных актов, методических документов, регламентирующих осуществление лицензируемого вида деятельности, издаваемых Гостехкомиссией России

3. Наличия у соискателя лицензии на проведение работ, связанных с использованием сведений, составляющих государственную тайну (при необходимости)

4. Осуществления лицензируемого вида деятельности специалистами, имеющими высшее или среднее техническое образование по профилю в области защиты информации, либо специалистами, прошедшими переподготовку в области защиты информации

5. Наличия нормативных правовых актов, государственных стандартов, руководящих и нормативно-методических документов, необходимых для обеспечения конкретных работ, мероприятий и (или) услуг в рамках заявленного вида деятельности

6. Наличия производственного, испытательного и контрольно-измерительного оборудования; средств контроля защищенности информации; средств защиты информации, необходимых при выполнении конкретных работ, мероприятий и (или) услуг в рамках заявленного вида деятельности

7. Соответствия контрольно-измерительного и испытательного оборудования, средств контроля защищенности информации и средств защиты информации требованиям законов Российской Федерации «О государственной тайне»

8. Наличия аттестованных по требованиям безопасности информации объектов информатизации, предназначенных для обработки, передачи и хранения информации, содержащей сведения, составляющие государственную тайну, помещений для ведения переговоров, необходимых для осуществления заявленного вида деятельности

9. Наличия документов, подтверждающих права соискателя на собственность, аренду, хозяйственное ведение или оперативное управление производственными помещениями и оборудованием, необходимым для осуществления заявленного вида деятельности

ОСНОВНЫЕ ПОЛОЖЕНИЯ ИНСТРУКЦИИ…(продолжение) 13Специальные экспертизы проводятся с целью оценки фактической готовности выполнения соискателем следующих требований:1.	Соблюдения законодательства Российской

Слайд 16ЗАКОНОДАТЕЛЬНАЯ БАЗА ЛИЦЕНЗИРОВАНИЯ В ОБЛАСТИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ


Федеральный закон от 8.08.2001 г. № 128-ФЗ «О лицензировании отдельных

видов деятельности»

14

Указ Президента Российской Федерации от 19.02.1999 г. № 212 «Вопросы государственной технической комиссии при Президенте Российской Федерации»

Постановление Правительства Российской Федерации от 11.02.2002 г. № 135 «О лицензировании отдельных видов деятельности»

Постановление Правительства Российской Федерации от 30.04.2002 г. № 290 «О лицензировании деятельности по технической защите конфиденциальной информации»

Постановление Правительства Российской Федерации от 27.05.2002 г. № 348 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»

ЗАКОНОДАТЕЛЬНАЯ БАЗА ЛИЦЕНЗИРОВАНИЯ В ОБЛАСТИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ   Федеральный закон от 8.08.2001 г. № 128-ФЗ

Слайд 17
деятельность по разработке и (или) производству
средств

защиты конфиденциальной информации
деятельность по технической защите конфиденциальной информации
Гостехкомиссия
России
ОРГАНЫ, УПОЛНОМОЧЕННЫЕ

НА ВЕДЕНИЕ ЛИЦЕНЗИОННОЙ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

(Федеральный закон от 8.08.2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности»)

15

деятельность по разработке и (или) производству средств защиты конфиденциальной информациидеятельность по технической защите конфиденциальной

Слайд 18
РАБОТЫ И УСЛУГИ, ЛИЦЕНЗИРУЕМЫЕ ГОСТЕХКОМИССИЕЙ РОССИИ В ОБЛАСТИ

ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ






16

ДЕЯТЕЛЬНОСТЬ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

ДЕЯТЕЛЬНОСТЬ ПО РАЗРАБОТКЕ

И (ИЛИ) ПРОИЗВОДСТВУ СРЕДСТВ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

РАБОТЫ И УСЛУГИ, ЛИЦЕНЗИРУЕМЫЕ ГОСТЕХКОМИССИЕЙ РОССИИ В ОБЛАСТИ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ16ДЕЯТЕЛЬНОСТЬ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ

Слайд 19ПЕРЕЧЕНЬ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА (утв. Указом Президента Российской Федерации от 6

марта 1997 г. № 188)
Персональные данные – сведения о фактах,

событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральным законом случаях

17

Тайна следствия и судопроизводства

Служебная тайна – служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским Кодексом Российской Федерации и федеральными законами

Профессиональная тайна – сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых сообщений, телеграфных и иных сообщений и т.д.

Коммерческая тайна – сведения, связанные с коммерческой деятельностью, доступ к которой ограничен в соответствии с Гражданским Кодексом Российской Федерации и федеральными законами

Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них.

ПЕРЕЧЕНЬ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА (утв. Указом Президента Российской Федерации от 6 марта 1997 г. № 188)Персональные данные

Слайд 20а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по

специальности "компьютерная безопасность", "комплексное обеспечение информационной безопасности автоматизированных систем" или

"информационная безопасность телекоммуникационных систем", либо специалистами, прошедшими переподготовку по вопросам защиты информации;

ЛИЦЕНЗИОННЫЕ ТРЕБОВАНИЯ И УСЛОВИЯ ОСУЩЕСТВЛЕНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

18

б) соответствие производственных помещений, производственного, испытательного и контрольно-измерительного оборудования техническим нормам и требованиям, установленным государственными стандартами Российской Федерации, руководящими и нормативно-методическими документами, утвержденными приказами Государственной технической комиссии при Президенте Российской Федерации;

в) использование сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации;

г) использование третьими лицами программ для электронно-вычислительных машин или баз данных на основании договора с их правообладателем.

а) осуществление лицензируемой деятельности специалистами, имеющими высшее профессиональное образование по специальности

Слайд 211. Основной вид (виды) деятельности соискателя лицензии (из Устава).
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА о подтверждении

возможности соискателя лицензии соблюдения лицензионных требований и условий
19
2. Какие мероприятия и

(или) услуги по технической защите конфиденциальной информации предполагает осуществлять (осуществляет) соискатель лицензии.

3. Перечень конфиденциальной информации, подлежащей защите в организации - соискателе лицензии (с учетом положений Указа Президента РФ от 6 марта 1997 года № 188).

4. Сведения об объекте (объектах) информатизации, на которых обрабатывается конфиденциальная информация с приложением копий сертификатов (аттестатов по требованиям безопасности информации) на эти объекты.

5. С помощью каких средств осуществляется обработка и защита конфиденциальной информации.

6. Какое программное обеспечение используется для обработки конфиденциальной информации с приложением копий договоров пользователей с правообладателем и сертификатов соответствия по требованиям безопасности.

7. В случае оказания услуг – перечень контрольно-измерительной аппаратуры, средств контроля защищенности информации и объектов с указанием заводских номеров, с приложением договоров аренды (в случае аренды) и копий свидетельств о поверке средств измерений и сертификатов средств контроля защищенности.

8. Перечень нормативной и нормативно-методической литературы, необходимой для осуществления заявляемых видов деятельности

1. Основной вид (виды) деятельности соискателя лицензии (из Устава).ПОЯСНИТЕЛЬНАЯ ЗАПИСКА о подтверждении возможности соискателя лицензии соблюдения лицензионных требований

Слайд 22Система сертификации средств защиты информации и аттестации объектов информатизации по

требованиям
безопасности информации

Система сертификации средств защиты информации и аттестации объектов информатизации по требованиямбезопасности информации

Слайд 23


Комплексная система безопасности информации
Объекты информатизации
Сертификация
задачи
Аттестация
способы
1

Комплексная система безопасности информацииОбъекты информатизацииСертификациязадачиАттестацияспособы1

Слайд 24СООТНОШЕНИЕ ПОНЯТИЙ СЕРТИФИКАЦИИ И АТТЕСТАЦИИ
Сертификация
деятельность по подтверждению соответствия

СЗИ
требованиям безопасности информации.
Требования определяются государственными
стандартами или иными

нормативными документами

Аттестация
комплекс организационно-технических мероприятий,
в результате которых подтверждается, что ОИ
соответствует требованиям стандартов или иных
нормативных документов по безопасности информации

2

СООТНОШЕНИЕ ПОНЯТИЙ СЕРТИФИКАЦИИ И АТТЕСТАЦИИСертификация  деятельность по подтверждению соответствия СЗИ требованиям безопасности информации. Требования определяются государственными

Слайд 25ВЗАИМОСВЯЗЬ СЕРТИФИКАЦИИ И АТТЕСТАЦИИ

1. Похожие формулировки
2. Проверяется соответствие определенных характеристик

определенным требованиям, которые установлены НМД
3. Используются в большинстве случаев

одни и те же НМД



1. Процессы сертификации и аттестации обеспечивают различные этапы жизненного цикла информационных систем:
сертификация связана с этапом производства СЗИ и такой категорией, как продукция, предназначенная для реализации;
аттестация - с этапом эксплуатации и такой категорией, как объект информатизации (ОИ.)
2. При аттестации оцениваются как отдельные СЗИ, так и
система защиты в целом, включая организационные меры,
а также конкретные условия эксплуатации.
3. Процессы сертификации и аттестации – самостоятельные процессы, отличающихся процедурами, методологией, объектами и конечными результатами.

Различия в аттестации и сертификации

Общее в аттестации и сертификации

3

ВЗАИМОСВЯЗЬ СЕРТИФИКАЦИИ И АТТЕСТАЦИИ1. Похожие формулировки2. Проверяется соответствие определенных характеристик  определенным требованиям, которые установлены НМД3. Используются

Слайд 26ЗАКОНОДАТЕЛЬНАЯ БАЗА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ
Закон Российской Федерации

1993 года № 5076-1 «О защите прав потребителей» с изменениями

1996 года № 2-ФЗ

4

Федеральный Закон Российской Федерации 2002 года № 184-ФЗ «О техническом регулировании»

Закон Российской Федерации 1993 года № 5485-1 «О государственной тайне»

Федеральный Закон 1995 года № 24-ФЗ «Об информации, информатизации и защите информации»

Постановление Правительства Российской Федерации 1995 года № 608 «О сертификации средств защиты информации»

ЗАКОНОДАТЕЛЬНАЯ БАЗА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИЗакон Российской Федерации 1993 года № 5076-1 «О защите

Слайд 27СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ
МВК по защите

гостайны


5
Правительство Российской Федерации
Сертификация продукции - деятельность по

подтверждению соответствия продукции установленным требованиям

ФСБ

СВР

МО РФ

Гостехкомиссия
России

Федеральные органы исполнительной власти

СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИМВК по защите гостайны5Правительство Российской Федерации Сертификация продукции -

Слайд 28

СТРУКТУРА СИСТЕМЫ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

ГОСТЕХКОМИССИИ РОССИИ № РОСС RU.0001.01БИ00
6
Уполномоченный федеральный орган исполнительной власти
Испытательные

лаборатории (71),
органы по аттестации объектов информатизации (195)

Заявители


Гостехкомиссия России

Органы по сертификации средств защиты информации

Автономная некоммерческая организация Секция «Информационная безопасность»



ГНИИИ
ПТЗИ


НТСЦ
«Атомзащитаинформ»

Подсистема аттестации ОИ

Евро-Азиатская Ассоциация производителей и товаров и в области безопасности

СТРУКТУРА СИСТЕМЫ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ  ГОСТЕХКОМИССИИ РОССИИ  № РОСС RU.0001.01БИ006Уполномоченный

Слайд 297
«Положение о сертификации средств защиты информации по требованиям безопасности информации»
«Положение

об аккредитации испытательных лабораторий по сертификации средств защиты информации по

требованиям безопасности информации»

«Положение по аттестации объектов информатизации по требованиям безопасности информации»

ОРГАНИЗАЦИОННЫЕ ДОКУМЕНТЫ СИСТЕМЫ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ГОСТЕХКОМИССИИ РОССИИ

7«Положение о сертификации средств защиты информации по требованиям безопасности информации»«Положение об аккредитации испытательных лабораторий по сертификации средств

Слайд 30


СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ, ПОДЛЕЖАЩИЕ СЕРТИФИКАЦИИ В СИСТЕМЕ СЕРТИФИКАЦИИ ГОСТЕХКОМИССИИ РОССИИ
8
средства

защиты информации от утечки по техническим каналам, основные и

вспомогательные технические средства и системы в защищенном исполнении

средства защиты информации (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности

средства контроля эффективности принятых мер защиты, применения средств защиты информации (технические, программные, программно-технические)

программные средства общего назначения со встроенными средствами защиты

некриптографические средства защиты информации, передаваемой по сетям электросвязи

системы и средства защиты информации, встроенные в средства связи

СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ, ПОДЛЕЖАЩИЕ СЕРТИФИКАЦИИ В СИСТЕМЕ СЕРТИФИКАЦИИ ГОСТЕХКОМИССИИ РОССИИ8средства защиты информации от утечки по техническим

Слайд 31

СХЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМЕ СЕРТИФИКАЦИИ ГОСТЕХКОМИССИИ РОССИИ
9
Сертификат

или отказ
Решение по заявке
Решение по заявке

Заявка на сертификацию

Заявитель
(производитель, поставщик, пользователь)

Гостехкомиссия России
(федеральный орган
по сертификации)

Испытательный центр
(лаборатория)

Сертификационные
испытания

Решение по заявке

Экспертное заключение,
материалы испытаний

Техническое заключение,
материалы испытаний

Сертифицируемая
продукция, документация

3

1

2

2

4

5

6

7

Орган по сертификации

СХЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ В СИСТЕМЕ СЕРТИФИКАЦИИ ГОСТЕХКОМИССИИ РОССИИ9Сертификат или отказ   Решение по заявкеРешение

Слайд 32НОРМАТИВНО-ПРАВОВАЯ БАЗА АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ
«Положение о государственной

системе защиты информации в Российской Федерации от иностранных технических разведок

и от утечки по техническим каналам. Постановление Правительства Российской Федерации от 15.09.1993 г. №912-51.

10

Положение о сертификации средств защиты информации. Постановление Правительства Российской Федерации от 26.06.1995 г. №608.

Положение об аттестации объектов информатизации по требованиям безопасности информации. Утверждено приказом Председателя Гостехкомиссии России 25.10.1994 г.

Специальные требования и рекомендации по защите государственной тайны от утечки по техническим каналам. Решение Гостехкомиссии России от 23.05.1997 г. № 55.

Специальные требования и рекомендации по защите конфиденциальной информации. Приказ Гостехкомиссии России от 30.08.2002 г. № 282.

Временные методические указания управлениям Гостехкомиссии России по федеральным округам о порядке аттестации объектов информатизации по требованиям безопасности информации». Утверждены Председателем Гостехкомиссии России 21.07.2002 г.

НОРМАТИВНО-ПРАВОВАЯ БАЗА АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ«Положение о государственной системе защиты информации в Российской Федерации от

Слайд 33


ОБЪЕКТЫ ИНФОРМАТИЗАЦИИ, ПОДЛЕЖАЩИЕ АТТЕСТАЦИИ В СИСТЕМЕ СЕРТИФИКАЦИИ ГОСТЕХКОМИССИИ РОССИИ
11
средства и

системы информатизации (СВТ, АС различного уровня и назначения на базе

СВТ, в том числе ИВК, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки секретной информации

технические средства и системы, не обрабатывающие непосредственно секретную информацию, но размещенные в помещениях, где обрабатывается (циркулирует) секретная информация

выделенные помещения, предназначенные для ведения секретных переговоров или в которых размещены средства закрытой телефонной связи.

ОБЪЕКТЫ ИНФОРМАТИЗАЦИИ, ПОДЛЕЖАЩИЕ АТТЕСТАЦИИ В СИСТЕМЕ СЕРТИФИКАЦИИ ГОСТЕХКОМИССИИ РОССИИ11средства и системы информатизации (СВТ, АС различного уровня и

Слайд 34


ОБЪЕКТЫ ИНФОРМАТИЗАЦИИ, ПОДЛЕЖАЩИЕ ОБЯЗАТЕЛЬНОЙ АТТЕСТАЦИИ В СИСТЕМЕ СЕРТИФИКАЦИИ ГОСТЕХКОМИССИИ РОССИИ
12

ОИ,

предназначенные для обработки информации, составляющей государственную тайну

ОИ, предназначенные для управления

экологически опасными объектами


ОИ, предназначенные для ведения секретных переговоров

ОБЪЕКТЫ ИНФОРМАТИЗАЦИИ, ПОДЛЕЖАЩИЕ ОБЯЗАТЕЛЬНОЙ АТТЕСТАЦИИ В СИСТЕМЕ СЕРТИФИКАЦИИ ГОСТЕХКОМИССИИ РОССИИ12ОИ, предназначенные для обработки информации, составляющей государственную тайнуОИ,

Слайд 35
Информация по заявке
ПОРЯДОК ПРОВЕДЕНИЯ АТТЕСТАЦИИ
Орган по аттестации
Региональное управление Гостехкомиссии России
Центральный

аппарат Гостехкомиссии России
Заявитель
Копия аттестата



Список органов по аттестации

Заявка

Договор,
испытания
Список органов по аттестации
Материалы

ипытаний, согласование

Аттестат соответствия

2

5

5

4

2

3

1

1

13

Информация по заявкеПОРЯДОК ПРОВЕДЕНИЯ АТТЕСТАЦИИОрган по аттестацииРегиональное управление Гостехкомиссии РоссииЦентральный аппарат Гостехкомиссии РоссииЗаявительКопия аттестатаСписок органов по аттестацииЗаявкаДоговор,испытанияСписок

Слайд 36ПО ОФОРМЛЕНИЮ МАТЕРИАЛОВ ИСПЫТАНИЙ

Протоколы измерений и расчетов должны обеспечивать возможность

воспроизведения результатов испытаний контролирующим органом
ПО ИЗМЕРЕНИЯМ И РАСЧЕТАМ

Используемая контрольно-измерительная аппаратура

должна быть поверена, а программы расчета сертифицированы

ТРЕБОВАНИЯ МЕТОДИЧЕСКИХ ДОКУМЕНТОВ

Допускается применение либо стандартных (действующих) методик, либо согласованных Гостехкомиссией России

ТРЕБОВАНИЯ К ПРОВЕДЕНИЮ РАБОТ ПО АТТЕСТАЦИИ

14

ПО ОФОРМЛЕНИЮ МАТЕРИАЛОВ ИСПЫТАНИЙПротоколы измерений и расчетов должны обеспечивать возможность воспроизведения результатов испытаний контролирующим органомПО ИЗМЕРЕНИЯМ И

Слайд 37СРЕДСТВА ИЗМЕРЕНИЙ:
рекомендованные средства измерений или сертифицированные автоматизированные комплексы
сертифицированные средства контроля

защищенности от НСД
сертифицированные программы расчета (ПЭМИН, акустика, виброакустика)
подбор измерительных

антенн
проведение специсследований на ПЭМИН ТСОИ на измерительных площадках
РЕЗУЛЬТАТЫ ИЗМЕРЕНИЙ И РАСЧЕТОВ:
обоснование не обнаружения информативного сигнала
испытания всего комплекса технических средств в составе ТСОИ
анализ и обоснование полученных результатов измерений и расчетов

ТРЕБОВАНИЯ К ИЗМЕРЕНИЯМ И РАСЧЕТАМ

15

СРЕДСТВА ИЗМЕРЕНИЙ:рекомендованные средства измерений или сертифицированные автоматизированные комплексысертифицированные средства контроля защищенности от НСД сертифицированные программы расчета (ПЭМИН,

Слайд 38Отсутствие сведений в протоколах испытаний (полное или частичное):
об используемой контрольно

- измерительной аппаратуре
о поверке контрольно-измерительной аппаратуры
о параметрах используемых тест-программ
о применяемой

программе расчета
о применяемых измерительных антеннах
об используемой схеме измерений
По оформлению технических заключений:
не содержат анализа угроз и оценки возможных технических каналов утечки
отсутствие ссылок на протоколы испытаний
отсутствие выводов о возможности оформления аттестата соответствия или их неоднозначность
не содержат сведений о размещении объекта относительно иностранных представительств


ОСНОВНЫЕ НЕДОСТАТКИ ПО ОФОРМЛЕНИЮ МАТЕРИАЛОВ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ

16

Отсутствие сведений в протоколах испытаний (полное или частичное):	об используемой контрольно - измерительной аппаратуре	о поверке контрольно-измерительной аппаратуры	о параметрах

Слайд 39ОСНОВНЫЕ СОСТАВЛЯЮЩИЕ СИСТЕМЫ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
А. Нормативно-методическое

обеспечение
сертификационных и аттестационных испытаний
Б. Техническое и программное обеспечение


аттестационных и сертификационных испытаний

В. Квалификация сотрудников

17

ОСНОВНЫЕ СОСТАВЛЯЮЩИЕ СИСТЕМЫ СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИА. Нормативно-методическое обеспечение сертификационных и аттестационных испытаний

Слайд 40А. НОРМАТИВНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ СЕРТИФИКАЦИОННЫХ И АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ
Специальные требования
Руководящие документы
Нормы

Аттестация

ОИ

Технические условия
Задания по безопасности
Профили защиты
Методики СИ СЗИ
Сертификация СЗИ

Положения,

Модели

18

Общие требования по
сертификации СЗИ
и аттестации ОИ

А. НОРМАТИВНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ СЕРТИФИКАЦИОННЫХ И АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ Специальные требованияРуководящие документыНормыАттестация ОИ Технические условияЗадания по безопасностиПрофили защитыМетодики СИ

Слайд 41ОСНОВНЫЕ НЕДОСТАТКИ ДЕЙСТВУЮЩЕЙ СИСТЕМЫ НОРМАТИВНО-МЕТОДИЧЕСКОЙ ДОКУМЕНТАЦИИ


19
Общие требования по
сертификации СЗИ


и аттестации ОИ
Сертификация
СЗИ
ТКУИ

НСД

Нормативно-методическое обеспечение развито
недостаточно полно как

по номенклатуре, так и по
глубине проработки, используются устаревшие
(70-х, 80-х гг.) отраслевые документы.

Разработана и сертифицирована лишь малая
часть специализированных программных
средств обеспечение СИ СЗИ.

Отсутствуют типовые методики АИ ОИ

Отсутствует система взаимосвязанных документов
по всем каналам утечки.

Отсутствуют НМД по ЗИ от 4 видов разведки

Методики привязаны к методам контроля
отдельных каналов утечки информации,
нет увязки этих методик с методиками оценки
защищенности объекта защиты в целом

Отсутствует специализированное техническое и
программное обеспечение для проведения СИ
СЗИ от 14 видов разведки

Отсутствуют методические документы

Разработаны нормативные документы общего
плана, специализированные отсутствуют

Слабо развита база испытательного оборудова-
ния и инструментальных средств
для проведения испытаний

Аттестация ОИ

ОСНОВНЫЕ НЕДОСТАТКИ ДЕЙСТВУЮЩЕЙ СИСТЕМЫ НОРМАТИВНО-МЕТОДИЧЕСКОЙ ДОКУМЕНТАЦИИ 19Общие требования по сертификации СЗИ и аттестации ОИСертификация СЗИ ТКУИНСДНормативно-методическое обеспечение

Слайд 42СЕРТИФИЦИРОВАННЫЕ СРЕДСТВА ИСПЫТАНИЙ СЗИ И КОНТРОЛЯ ЗАЩИЩЕННОСТИ АС
20
1. Анализаторы

исходных текстов программ «АИСТ»
2. Анализаторы уязвимостей средств защиты

СВТ от НСД
«НКВД 2.1-2.5, 3.1-3.2», «РЕВИЗОР 1.0, 2.0»

3. Программа фиксации и контроля исходного состояния программного комплекса «ФИКС 2.0»

4. Эмулятор ПЭВМ «EMU» (Intel x86)

5. Программа поиска информации на дисках «TERRIER»

6.Сетевые сканеры защищенности «ТСП 3и», «NESSUS», «ISS»

7.Анализатор сетевого трафика «АСТРА 1.0»

Б. ТЕХНИЧЕСКОЕ И ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ АТТЕСТАЦИОННЫХ И СЕРТИФИКАЦИОННЫХ ИСПЫТАНИЙ

СЕРТИФИЦИРОВАННЫЕ СРЕДСТВА ИСПЫТАНИЙ СЗИ И КОНТРОЛЯ ЗАЩИЩЕННОСТИ АС 201. Анализаторы исходных текстов программ «АИСТ»  2. Анализаторы

Слайд 43СЕРТИФИЦИРОВАННЫЕ СРЕДСТВА ИЗМЕРЕНИЙ И РАСЧЕТА…
21
1. Программа оценки и контроля выполнения

норм по акустической каналу «БИКАР»
2. Программа управления системой "ШЕПОТ"

и расчета оценки защищенности ВП по в/акустическому каналу «АКУСТИКА»

3. Комплекс программных и аппаратных средств для проведения специсследований «ЛЕГЕНДА»

4. Программа расчета показателей защищенности информации объектов ВТ от утечки по каналу ПЭМИ «РОСА» версия 1.0

5. Программно-аппаратный комплекс «СИГУРД» и расчета оценки защищенности технических средств по каналу ПЭМИН

6. Программно-аппаратный комплекс «НАВИГАТОР»

7. Многофункциональный комплекс радиомониторинга «АРК-Д1ТИ»

СЕРТИФИЦИРОВАННЫЕ СРЕДСТВА ИЗМЕРЕНИЙ И РАСЧЕТА…211. Программа оценки и контроля выполнения норм по акустической каналу «БИКАР» 2. Программа

Слайд 44 ПОДГОТОВКА ЭКСПЕРТОВ ОРГАНОВ ПО АТТЕСТАЦИИ, СЕРТИФИКАЦИИ

И ИСПЫТАТЕЛЬНЫХ ЛАБОРАТОРИЙ
22
Курсы повышения квалификации «Организация проведения

аттестационных испытаний»

Курсы повышения квалификации «Организация проведения сертификационных испытаний»

«Положение о подготовке и аттестации экспертов системы сертификации средств защиты информации по требованиям безопасности информации»

В. КВАЛИФИКАЦИЯ СОТРУДНИКОВ

ПОДГОТОВКА ЭКСПЕРТОВ ОРГАНОВ ПО АТТЕСТАЦИИ, СЕРТИФИКАЦИИ И ИСПЫТАТЕЛЬНЫХ ЛАБОРАТОРИЙ22   Курсы повышения

Слайд 45Законодательные
и нормативные
правовые акты
по сертификации
Законодательные
и нормативные
правовые акты
по защите информации

ПЭМИН
Руководители
органов
по сертификации
и испытательных
лабораторий

Общие

критерии

Недекларирован-
ные возможности



Защита сетей


Защита от НСД

Технические
специалисты
органов
по сертификации
и испытательных
лабораторий

Акустоэлектрический

Виброакустический


Акустический

средства защиты
от утечки
по техническим
каналам

средства защиты
от несанкциониро-
ванного доступа
к информации

23

ПОДГОТОВКА СПЕЦИАЛИСТОВ ОРГАНОВ ПО СЕРТИФИКАЦИИ, ИСПЫТАТЕЛЬНЫХ ЦЕНТРОВ (ЛАБОРАТОРИЙ)

Законодательныеи нормативныеправовые акты по сертификацииЗаконодательныеи нормативныеправовые актыпо защите информации      ПЭМИНРуководителиоргановпо сертификациии испытательныхлабораторий

Слайд 46 ПЭМИН

Нормативно-методические документы по

защите информации

Законодательные и нормативные правовые акты по защите

информации

Руководители
органов по
аттестации



Общие критерии

Защита сетей

Защита от НСД

Технические
специалисты
по защите
информации

Акустоэлектрический

Виброакустический


Акустический

от утечки
по техническим
каналам

от несанкциониро-
ванного доступа
к информации

ПОДГОТОВКА СПЕЦИАЛИСТОВ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ

24

ПЭМИННормативно-методические  документы по защите информацииЗаконодательные и нормативные правовые акты по

Слайд 47ПЕРЕЧЕНЬ УЧЕБНЫХ ЦЕНТРОВ ПО ПОДГОТОВКЕ СПЕЦИАЛИСТОВ В ОБЛАСТИ ТЕХНИЧЕСКОЙ ЗАЩИТЫ

ИНФОРМАЦИИ
25

ПЕРЕЧЕНЬ УЧЕБНЫХ ЦЕНТРОВ ПО ПОДГОТОВКЕ СПЕЦИАЛИСТОВ В ОБЛАСТИ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ25

Обратная связь

Если не удалось найти и скачать доклад-презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое TheSlide.ru?

Это сайт презентации, докладов, проектов в PowerPoint. Здесь удобно  хранить и делиться своими презентациями с другими пользователями.


Для правообладателей

Яндекс.Метрика