СЗПДн. Эксплуатация. Лицензирование ТЗКИ

СЗПДн. Эксплуатация. Лицензирование ТЗКИ

Недавно на сайте ФСТЭК России былоопубликовано три информационных документа, “Перечень оборудования, необходимогодля лицензии на ТЗКИ” (утвержден 3 апреля 2012 г.) , “Переченьстандартов и РД, необходимых для получения лицензии на ТЗКИ” (утвержден 16марта 2012 г.),“Перечень стандартов и РД, необходимых для получения лицензии на производствоСЗИ” (утвержден 9 апреля 2012 г.).
Посмотрим каким оборудованиемнеобходимо обладать организации, желающей получить лицензию в рамках защитыСЗПДн. Сделаем следующие предположения:
·       организация планирует проектирование иустановку СЗИ делать самостоятельно;
·       аттестация не требуется (так как коммерческаякомпания);
·       сертификация не требуется (так как средствауже сертифицированы);
·       угрозы утечки по техническим каналам неактуальны;
·       контроль защищенности от НСД  (экспрессаудит) будет заказываться у внешнегоаудитора.
Соответственно лицензируемые виды работ:
·       д) проектирование в защищенномисполнении:
o  1- средств и систем информатизации;
·       е) установка, монтаж, испытания, ремонтсредств защиты информации:
o  4- программных (программно-технических)средств защиты информации;
o  5- защищенных программных(программно-технических) средств обработки информации;
Нам потребуется оборудование:
·       Программные средства формирования и контроляполномочий доступа в автоматизированных системах = Ревизор 1 ХР;
·       Программные средства контроля целостностипрограмм и программных комплексов = Ревизор2 ХР;
·       Анализаторы уязвимостей в программномобеспечении и в автоматизированных системах = Ревизор Сети или XSpider;
·       Средства контроля эффективности применениясредств защиты информации = Ревизор Сетиили XSpiderи TERRIER 3.0;
·       Программные средства автоматизированногопроектирования = MSVisioили Автокад (только еслипланируется проектировать сложные распределенные системы).
Кромепоследнего пункта, остальное стоит порядка 20 тыс. рублей.  Не так уж и дорого.
Нам потребуется скачать, распечатать, зарегистрироватьи изучить документацию открытого доступа:
·       Положение о сертификации средств защитыинформации по требованиям безопасности информации, утвержденное приказомГостехкомиссии России от 27 октября 1995 г. № 199.
·       Руководящий документ. Концепция защиты средстввычислительной техники и автоматизированных систем от несанкционированногодоступа к информации. Гостехкомиссия России, 1992.
·       Руководящий документ. Временное положение поорганизации разработки, изготовления и эксплуатации программных и техническихсредств защиты информации от несанкционированного доступа в автоматизированныхсистемах и средствах вычислительной техники. Гостехкомиссия России, 1992.
·       Руководящий документ. Средства вычислительнойтехники. Защита от несанкционированного доступа к информации. Показателизащищенности от несанкционированного доступа к информации. ГостехкомиссияРоссии, 1992.
·       Руководящий документ. Автоматизированныесистемы. Защита от несанкционированного доступа к информации. Классификацияавтоматизированных систем и требования по защите информации. ГостехкомиссияРоссии, 1992.
·       Руководящий документ. Защита отнесанкционированного доступа к информации. Термины и определения.Гостехкомиссия России, 1992.
·       Руководящий документ. Средства вычислительнойтехники. Межсетевые экраны. Защита от несанкционированного доступа кинформации. Показатели защищенности от несанкционированного доступа кинформации. Гостехкомиссия России, 1997.
·       Руководящий документ. Защита информации.Специальные защитные знаки. Классификация и общие требования. ГостехкомиссияРоссии, 1997.
·       Руководящий документ. Защита отнесанкционированного доступа. Часть 1. Программное обеспечение средств защитыинформации. Классификация по уровню контроля отсутствия недекларированныхвозможностей. Утвержден приказом Гостехкомиссии России от 4 июня 1999 г. № 114.
·       Положение о методах и способах защитыинформации в информационных системах персональных данных. Утверждено приказомФСТЭК России от 5 февраля 2010 г. № 58 (зарегистрирован Минюстом России 19 февраля2010 г., регистрационный № 16456)
·       Порядок проведения классификацииинформационных систем персональных данных. Утвержден приказом ФСТЭК России, ФСБРоссии, Минкомсвязи России от 13 февраля 2008 г. № 55/86/20.
·       Базовая модель угроз безопасности персональныхданных при их обработке в информационных системах персональных данных.Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.
·       ГОСТ 2.001-93. ЕСКД. Общие положения.
·       ГОСТ 2.004-88. ЕСКД. Общие требования квыполнению конструкторских и технологических документов на печатающих играфических устройствах вывода ЭВМ.
·       ГОСТ 2.101-68. ЕСКД. Виды изделий.
·       ГОСТ 2.105-95. ЕСКД. Общие требования ктекстовым документам.
·       ГОСТ 2.106-96. ЕСКД. Текстовые документы.
·       ГОСТ 2.109-73. ЕСКД. Основные требования кчертежам.
·       ГОСТ 2.118-73. ЕСКД. Техническое предложение.
·       ГОСТ 2.119-73. ЕСКД. Эскизный проект.
·       ГОСТ 2.120-73. ЕСКД. Технический проект.
·       ГОСТ 2.601-2006. ЕСКД. Эксплуатационныедокументы.
·       ГОСТ 2.602-95. ЕСКД. Ремонтные документы.
·       ГОСТ 2.701-2008. ЕСКД. Схемы. Виды и типы.Общие требования к выполнению.
·       ГОСТ 2.784-96 ЕСКД. Обозначения условныеграфические. Элементы трубопроводов.
·       ГОСТ 19.507-79. ЕСПД. Ведомостьэксплуатационных документов.
·       ГОСТ 19.508-79. ЕСПД. Руководство потехническому обслуживанию. Требования к содержанию и оформлению.
·       ГОСТ 19.701-90 (ИСО 5807-85). ЕСПД. Схемыалгоритмов, программ, данных и систем. Обозначения условные и правилавыполнения.
·       ГОСТ 19.781-90. Обеспечение систем обработкиинформации программное. Термины и определения.
·       ГОСТ 34.003-90. Информационная технология.Комплекс стандартов на автоматизированные системы. Автоматизированные системы.Термины и определения.
·       ГОСТ 34.201-89. Информационная технология.Комплекс стандартов на автоматизированные системы. Виды, комплектность иобозначение документов при создании автоматизированных систем.
·       ГОСТ 34.601-90. Информационная технология.Комплекс стандартов на автоматизированные системы. Автоматизированные системы.Стадии создания.
·       ГОСТ 34.602-89. Информационная технология.Комплекс стандартов на автоматизированные системы. Техническое задание насоздание автоматизированной системы.
·       ГОСТ 34.603-92. Информационная технология.Виды испытаний автоматизированных систем.
·       ГОСТ 17168-82. Фильтры электронные октавные итретьоктавные. Общие технические требования и методы испытаний.
·       ГОСТ 21552-84. Средства вычислительнойтехники. Общие технические требования, приемка, методы испытаний, маркировка,упаковка, транспортировка и хранение.
·       ГОСТ 22505-97. Совместимость техническихсредств электромагнитная. Радиопомехи индустриальные от радиовещательныхприемников, телевизоров и другой бытовой радиоэлектронной аппаратуры. Нормы иметоды испытаний.
·       ГОСТ 27201-87. Машины вычислительныеэлектронные персональные. Типы, основные параметры, общие техническиетребования.
·       ГОСТ 27296-87. Защита от шума в строительстве.Звукоизоляция ограждающих конструкций. Методы измерения.
·       ГОСТ Р 50739-95. Средства вычислительнойтехники. Защита от несанкционированного доступа к информации. Общие техническиетребования.
·       ГОСТ Р 50922-2006. Защита информации. Основныетермины и определения.
·       ГОСТ Р 50923-96. Дисплеи. Рабочее местооператора. Общие эргономические требования и требования к производственнойсреде. Методы измерения.
·       ГОСТ Р 50948-2001. Средства отображенияинформации индивидуального пользования. Общие эргономические требования и требованиябезопасности.
·       ГОСТ Р 51319-99. Совместимость техническихсредств электромагнитная. Приборы для измерения индустриальных радиопомех.Технические требования и методы испытаний.
·       ГОСТ Р 51320-99. Совместимость техническихсредств электромагнитная. Радиопомехи индустриальные. Методы испытанийтехнических средств - источников индустриальных радиопомех.
·       ГОСТ Р ИСО/МЭК 12207-2010. Информационнаятехнология. Системная и программная инженерия. Процессы жизненного циклапрограммных средств.
·       ГОСТ Р ИСО/МЭК 9126-93. Информационнаятехнология. Оценка программной продукции. Характеристики качества и руководствапо их применению.
·       ГОСТ Р ИСО/МЭК ТО 9294-93. Информационнаятехнология. Руководство по управлению документированием программногообеспечения.
·       МИ 1317-2004. Рекомендация. Государственнаясистема обеспечения единства измерений. Результаты и характеристики погрешностиизмерений. Формы представления. Способы использования при испытаниях образцовпродукции и контроле их параметров.
·       МИ 2377-98. Рекомендация. Государственнаясистема обеспечения единства измерений. Разработка и аттестация методиквыполнения измерений.
·       Р 50-34.119-90. Рекомендации. Информационнаятехнология. Комплекс стандартов и руководящих документов на автоматизированныесистемы. Архитектура локальных вычислительных сетей в системах промышленнойавтоматизации. Общие положения.
·       РД 50-682-89. Методические указания.Информационная технология. Комплекс стандартов и руководящих документов наавтоматизированные системы. Основные положения.
·       РД 50-34.698-90. Методические указания.Информационная технология. Комплекс стандартов и руководящих документов наавтоматизированные системы. Требования к содержанию документов.
·       РД 50-680-88. Методические указания.Автоматизированные системы. Основные положения.
·       СанПиН 2.2.2.542-96. Гигиенические требованияк видеодисплейным терминалам, персональным электронно-вычислительным машинам иорганизация работы.
·       СНиП 23-03-2003. Защита от шума.
·       ГОСТ 29099-91. Сети вычислительные локальные.Термины и определения.
·       ГОСТ Р 50.1.053-2005. Информационныетехнологии. Основные термины и определения в области технической зашитыинформации.
·       ГОСТ Р 52069-2003. Защита информации. Системастандартов. Основные положения.
·       ГОСТ Р 52447-2005. Защита информации. Техниказащиты информации. Номенклатура показателей качества.
·       ГОСТ Р 52448-2005. Защита информации.Обеспечение безопасности сетей электросвязи.
·       ГОСТ Р 52633-2006. Защита информации. Техниказащиты информации. Требования к средствам высоконадежной биометрическойаутентификации.
·       ГОСТ Р ИСО 7498-1-99. Информационнаятехнология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1.Базовая модель.
·       ГОСТ Р ИСО 7498-2-99. Информационнаятехнология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2.Архитектура защиты информации.
·       ГОСТ Р ИСО/МЭК 13335-1-2006. Информационнаятехнология. Методы и средства обеспече¬ния безопасности. Часть 1. Концепция имодели менеджмента безопасности информационных и телекоммуникационныхтехнологий.
·       ГОСТ Р ИСО/МЭК ТО 13335.3-2007. Информационнаятехнология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджментабезопасности информационных технологий.

Нам потребуется заказать в ФСТЭК печатнуюдокументацию ограниченного доступа:
·       Временная методика оценки защищённостиконфиденциальной информации, обрабатываемой основными техническими средствами исистемами, от утечки за счёт наводок на вспомогательные технические средства исистемы и их коммуникации, Гостехкомиссия России, 2002.
·       Временная методика оценки защищенностипомещений от утечки речевой конфиденциальной информации по акустическому ивиброакустическому каналам, Гостехкомиссия России, 2002.
·       Временная методика оценки помещений от утечкиречевой конфиденциальной информации по каналам электроакустическихпреобразований во вспомогательных технических средствах и системах,Гостехкомиссия России, 2002.
·       Нормативно-методический документ. «Специальныетребования и рекомендации по технической защите конфиденциальной информации».Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282.
·       Требования к системам обнаружения вторжений.Утверждены приказом ФСТЭК России от 6 декабря 2011 г. № 638.
·       Сборник методических документов по техническойзащите информации ограниченного доступа, не содержащей сведений, составляющихгосударственную тайну, в волоконно-оптических системах передачи.   Утвержден приказом ФСТЭК России от 15 марта2012 г. № 27дсп
·       ГОСТ Р 51188-98. Защита информации. Испытанияпрограммных средств на наличие компьютерных вирусов. Типовое руководство.
·       ГОСТ Р 51275-2006. Защита информации. Объектинформатизации. Факторы, воздействующие на информацию. Общие положения.
·       ГОСТ Р 51583-2000. Защита информации. Порядоксоздания автоматизированных систем в защищённом исполнении. Общие положения.
·       ГОСТ Р 51624-2000. Защита информации. Автоматизированныесистемы в защищённом исполнении. Общие требования.
Будетстоить до 2500 руб.
Собственно вот и все расходы. (в данной статье не рассматриваютсятребования к специалистам и помещениям из положения о лицензировании ТЗКИ).            

Еслихотим сами проводить анализ защищенности, то ещё добавляем и изучаем документы:
·       ГОСТ Р ИСО/МЭК 27004-2011. Информационнаятехнология. Методы и средства обеспечения безопасности. Менеджментинформационной безопасности. Измерения.
·       ГОСТ Р ИСО/МЭК 18028-2008. Информационнаятехнология. Методы и средства обеспечения безопасности. Сетевая безопасностьинформационных технологий. Менеджмент сетевой безопасности
·       ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационнаятехнология. Методы и средства обеспечения безопасности. Менеджмент инцидентовинформационной безопасности
·       ГОСТ Р ИСО/МЭК 19791-2008. Информационнаятехнология. Методы и средства обеспечения безопасности. Оценка безопасностиавтоматизированных систем
·       ГОСТ Р ИСО/МЭК 27033-1-2011. Информационнаятехнология. Методы и средства обеспечения безопасности. Сетевая безопасность.Часть 1. Обзор и концепции.

Занаводку и его анализ спасибо Trotsky .

СЗПДн ФСТЭК Лицензирование
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале