В продолжение п редыдущей заметки олицензировании .
Недавно на сайте ФСТЭК России былоопубликовано три информационных документа, “Перечень оборудования, необходимогодля лицензии на ТЗКИ” (утвержден 3 апреля 2012 г .) , “Переченьстандартов и РД, необходимых для получения лицензии на ТЗКИ” (утвержден 16марта 2012 г .),“Перечень стандартов и РД, необходимых для получения лицензии на производствоСЗИ” (утвержден 9 апреля 2012 г .).
Посмотрим каким оборудованиемнеобходимо обладать организации, желающей получить лицензию в рамках защитыСЗПДн. Сделаем следующие предположения:
· организация планирует проектирование иустановку СЗИ делать самостоятельно;
· аттестация не требуется (так как коммерческаякомпания);
· сертификация не требуется (так как средствауже сертифицированы);
· угрозы утечки по техническим каналам неактуальны;
· контроль защищенности от НСД (экспрессаудит) будет заказываться у внешнегоаудитора.
Соответственно лицензируемые виды работ:
· д) проектирование в защищенномисполнении:
o 1- средств и систем информатизации;
· е) установка, монтаж, испытания, ремонтсредств защиты информации:
o 4- программных (программно-технических)средств защиты информации;
o 5- защищенных программных(программно-технических) средств обработки информации;
Нам потребуется оборудование:
· Программные средства формирования и контроляполномочий доступа в автоматизированных системах = Ревизор 1 ХР;
· Программные средства контроля целостностипрограмм и программных комплексов = Ревизор2 ХР;
· Анализаторы уязвимостей в программномобеспечении и в автоматизированных системах = Ревизор Сети или XSpider;
· Средства контроля эффективности применениясредств защиты информации = Ревизор Сетиили XSpiderи TERRIER 3.0;
· Программные средства автоматизированногопроектирования = MSVisioили Автокад (только еслипланируется проектировать сложные распределенные системы).
Кромепоследнего пункта, остальное стоит порядка 20 тыс. рублей. Не так уж и дорого.
Нам потребуется скачать, распечатать, зарегистрироватьи изучить документацию открытого доступа:
· Положение о сертификации средств защитыинформации по требованиям безопасности информации, утвержденное приказомГостехкомиссии России от 27 октября 1995 г. № 199.
· Руководящий документ. Концепция защиты средстввычислительной техники и автоматизированных систем от несанкционированногодоступа к информации. Гостехкомиссия России, 1992.
· Руководящий документ. Временное положение поорганизации разработки, изготовления и эксплуатации программных и техническихсредств защиты информации от несанкционированного доступа в автоматизированныхсистемах и средствах вычислительной техники. Гостехкомиссия России, 1992.
· Руководящий документ. Средства вычислительнойтехники. Защита от несанкционированного доступа к информации. Показателизащищенности от несанкционированного доступа к информации. ГостехкомиссияРоссии, 1992.
· Руководящий документ. Автоматизированныесистемы. Защита от несанкционированного доступа к информации. Классификацияавтоматизированных систем и требования по защите информации. ГостехкомиссияРоссии, 1992.
· Руководящий документ. Защита отнесанкционированного доступа к информации. Термины и определения.Гостехкомиссия России, 1992.
· Руководящий документ. Средства вычислительнойтехники. Межсетевые экраны. Защита от несанкционированного доступа кинформации. Показатели защищенности от несанкционированного доступа кинформации. Гостехкомиссия России, 1997.
· Руководящий документ. Защита информации.Специальные защитные знаки. Классификация и общие требования. ГостехкомиссияРоссии, 1997.
· Руководящий документ. Защита отнесанкционированного доступа. Часть 1. Программное обеспечение средств защитыинформации. Классификация по уровню контроля отсутствия недекларированныхвозможностей. Утвержден приказом Гостехкомиссии России от 4 июня 1999 г. № 114.
· Положение о методах и способах защитыинформации в информационных системах персональных данных. Утверждено приказомФСТЭК России от 5 февраля 2010 г. № 58 (зарегистрирован Минюстом России 19 февраля2010 г., регистрационный № 16456)
· Порядок проведения классификацииинформационных систем персональных данных. Утвержден приказом ФСТЭК России, ФСБРоссии, Минкомсвязи России от 13 февраля 2008 г. № 55/86/20.
· Базовая модель угроз безопасности персональныхданных при их обработке в информационных системах персональных данных.Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.
· ГОСТ 2.001-93. ЕСКД. Общие положения.
· ГОСТ 2.004-88. ЕСКД. Общие требования квыполнению конструкторских и технологических документов на печатающих играфических устройствах вывода ЭВМ.
· ГОСТ 2.101-68. ЕСКД. Виды изделий.
· ГОСТ 2.105-95. ЕСКД. Общие требования ктекстовым документам.
· ГОСТ 2.106-96. ЕСКД. Текстовые документы.
· ГОСТ 2.109-73. ЕСКД. Основные требования кчертежам.
· ГОСТ 2.118-73. ЕСКД. Техническое предложение.
· ГОСТ 2.119-73. ЕСКД. Эскизный проект.
· ГОСТ 2.120-73. ЕСКД. Технический проект.
· ГОСТ 2.601-2006. ЕСКД. Эксплуатационныедокументы.
· ГОСТ 2.602-95. ЕСКД. Ремонтные документы.
· ГОСТ 2.701-2008. ЕСКД. Схемы. Виды и типы.Общие требования к выполнению.
· ГОСТ 2.784-96 ЕСКД. Обозначения условныеграфические. Элементы трубопроводов.
· ГОСТ 19.507-79. ЕСПД. Ведомостьэксплуатационных документов.
· ГОСТ 19.508-79. ЕСПД. Руководство потехническому обслуживанию. Требования к содержанию и оформлению.
· ГОСТ 19.701-90 (ИСО 5807-85). ЕСПД. Схемыалгоритмов, программ, данных и систем. Обозначения условные и правилавыполнения.
· ГОСТ 19.781-90. Обеспечение систем обработкиинформации программное. Термины и определения.
· ГОСТ 34.003-90. Информационная технология.Комплекс стандартов на автоматизированные системы. Автоматизированные системы.Термины и определения.
· ГОСТ 34.201-89. Информационная технология.Комплекс стандартов на автоматизированные системы. Виды, комплектность иобозначение документов при создании автоматизированных систем.
· ГОСТ 34.601-90. Информационная технология.Комплекс стандартов на автоматизированные системы. Автоматизированные системы.Стадии создания.
· ГОСТ 34.602-89. Информационная технология.Комплекс стандартов на автоматизированные системы. Техническое задание насоздание автоматизированной системы.
· ГОСТ 34.603-92. Информационная технология.Виды испытаний автоматизированных систем.
· ГОСТ 17168-82. Фильтры электронные октавные итретьоктавные. Общие технические требования и методы испытаний.
· ГОСТ 21552-84. Средства вычислительнойтехники. Общие технические требования, приемка, методы испытаний, маркировка,упаковка, транспортировка и хранение.
· ГОСТ 22505-97. Совместимость техническихсредств электромагнитная. Радиопомехи индустриальные от радиовещательныхприемников, телевизоров и другой бытовой радиоэлектронной аппаратуры. Нормы иметоды испытаний.
· ГОСТ 27201-87. Машины вычислительныеэлектронные персональные. Типы, основные параметры, общие техническиетребования.
· ГОСТ 27296-87. Защита от шума в строительстве.Звукоизоляция ограждающих конструкций. Методы измерения.
· ГОСТ Р 50739-95. Средства вычислительнойтехники. Защита от несанкционированного доступа к информации. Общие техническиетребования.
· ГОСТ Р 50922-2006. Защита информации. Основныетермины и определения.
· ГОСТ Р 50923-96. Дисплеи. Рабочее местооператора. Общие эргономические требования и требования к производственнойсреде. Методы измерения.
· ГОСТ Р 50948-2001. Средства отображенияинформации индивидуального пользования. Общие эргономические требования и требованиябезопасности.
· ГОСТ Р 51319-99. Совместимость техническихсредств электромагнитная. Приборы для измерения индустриальных радиопомех.Технические требования и методы испытаний.
· ГОСТ Р 51320-99. Совместимость техническихсредств электромагнитная. Радиопомехи индустриальные. Методы испытанийтехнических средств - источников индустриальных радиопомех.
· ГОСТ Р ИСО/МЭК 12207-2010. Информационнаятехнология. Системная и программная инженерия. Процессы жизненного циклапрограммных средств.
· ГОСТ Р ИСО/МЭК 9126-93. Информационнаятехнология. Оценка программной продукции. Характеристики качества и руководствапо их применению.
· ГОСТ Р ИСО/МЭК ТО 9294-93. Информационнаятехнология. Руководство по управлению документированием программногообеспечения.
· МИ 1317-2004. Рекомендация. Государственнаясистема обеспечения единства измерений. Результаты и характеристики погрешностиизмерений. Формы представления. Способы использования при испытаниях образцовпродукции и контроле их параметров.
· МИ 2377-98. Рекомендация. Государственнаясистема обеспечения единства измерений. Разработка и аттестация методиквыполнения измерений.
· Р 50-34.119-90. Рекомендации. Информационнаятехнология. Комплекс стандартов и руководящих документов на автоматизированныесистемы. Архитектура локальных вычислительных сетей в системах промышленнойавтоматизации. Общие положения.
· РД 50-682-89. Методические указания.Информационная технология. Комплекс стандартов и руководящих документов наавтоматизированные системы. Основные положения.
· РД 50-34.698-90. Методические указания.Информационная технология. Комплекс стандартов и руководящих документов наавтоматизированные системы. Требования к содержанию документов.
· РД 50-680-88. Методические указания.Автоматизированные системы. Основные положения.
· СанПиН 2.2.2.542-96. Гигиенические требованияк видеодисплейным терминалам, персональным электронно-вычислительным машинам иорганизация работы.
· СНиП 23-03-2003. Защита от шума.
· ГОСТ 29099-91. Сети вычислительные локальные.Термины и определения.
· ГОСТ Р 50.1.053-2005. Информационныетехнологии. Основные термины и определения в области технической зашитыинформации.
· ГОСТ Р 52069-2003. Защита информации. Системастандартов. Основные положения.
· ГОСТ Р 52447-2005. Защита информации. Техниказащиты информации. Номенклатура показателей качества.
· ГОСТ Р 52448-2005. Защита информации.Обеспечение безопасности сетей электросвязи.
· ГОСТ Р 52633-2006. Защита информации. Техниказащиты информации. Требования к средствам высоконадежной биометрическойаутентификации.
· ГОСТ Р ИСО 7498-1-99. Информационнаятехнология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1.Базовая модель.
· ГОСТ Р ИСО 7498-2-99. Информационнаятехнология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2.Архитектура защиты информации.
· ГОСТ Р ИСО/МЭК 13335-1-2006. Информационнаятехнология. Методы и средства обеспече¬ния безопасности. Часть 1. Концепция имодели менеджмента безопасности информационных и телекоммуникационныхтехнологий.
· ГОСТ Р ИСО/МЭК ТО 13335.3-2007. Информационнаятехнология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджментабезопасности информационных технологий.
Нам потребуется заказать в ФСТЭК печатнуюдокументацию ограниченного доступа:
· Временная методика оценки защищённостиконфиденциальной информации, обрабатываемой основными техническими средствами исистемами, от утечки за счёт наводок на вспомогательные технические средства исистемы и их коммуникации, Гостехкомиссия России, 2002.
· Временная методика оценки защищенностипомещений от утечки речевой конфиденциальной информации по акустическому ивиброакустическому каналам, Гостехкомиссия России, 2002.
· Временная методика оценки помещений от утечкиречевой конфиденциальной информации по каналам электроакустическихпреобразований во вспомогательных технических средствах и системах,Гостехкомиссия России, 2002.
· Нормативно-методический документ. «Специальныетребования и рекомендации по технической защите конфиденциальной информации».Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282.
· Требования к системам обнаружения вторжений.Утверждены приказом ФСТЭК России от 6 декабря 2011 г. № 638.
· Сборник методических документов по техническойзащите информации ограниченного доступа, не содержащей сведений, составляющихгосударственную тайну, в волоконно-оптических системах передачи. Утвержден приказом ФСТЭК России от 15 марта2012 г. № 27дсп
· ГОСТ Р 51188-98. Защита информации. Испытанияпрограммных средств на наличие компьютерных вирусов. Типовое руководство.
· ГОСТ Р 51275-2006. Защита информации. Объектинформатизации. Факторы, воздействующие на информацию. Общие положения.
· ГОСТ Р 51583-2000. Защита информации. Порядоксоздания автоматизированных систем в защищённом исполнении. Общие положения.
· ГОСТ Р 51624-2000. Защита информации. Автоматизированныесистемы в защищённом исполнении. Общие требования.
Будетстоить до 2500 руб.
Собственно вот и все расходы. (в данной статье не рассматриваютсятребования к специалистам и помещениям из положения о лицензировании ТЗКИ).
Еслихотим сами проводить анализ защищенности, то ещё добавляем и изучаем документы:
· ГОСТ Р ИСО/МЭК 27004-2011. Информационнаятехнология. Методы и средства обеспечения безопасности. Менеджментинформационной безопасности. Измерения.
· ГОСТ Р ИСО/МЭК 18028-2008. Информационнаятехнология. Методы и средства обеспечения безопасности. Сетевая безопасностьинформационных технологий. Менеджмент сетевой безопасности
· ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационнаятехнология. Методы и средства обеспечения безопасности. Менеджмент инцидентовинформационной безопасности
· ГОСТ Р ИСО/МЭК 19791-2008. Информационнаятехнология. Методы и средства обеспечения безопасности. Оценка безопасностиавтоматизированных систем
· ГОСТ Р ИСО/МЭК 27033-1-2011. Информационнаятехнология. Методы и средства обеспечения безопасности. Сетевая безопасность.Часть 1. Обзор и концепции.
Занаводку и его анализ спасибо Trotsky .
