Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Cертификация, лицензирование и аттестация

292 views

Published on

В презентации рассматриваются вопросы сертификации, лицензирования и аттестации в области защиты информации применительно к задачам защиты персональных данных.

Published in: Law
  • Be the first to comment

Cертификация, лицензирование и аттестация

  1. 1. Вопросы защиты персональных данных СЕРТИФИКАЦИЯ. ЛИЦЕНЗИРОВАНИЕ. АТТЕСТАЦИЯ. 1
  2. 2. Рассматриваемые проблемы Лицензирование Наличие у организаций- исполнителей лицензий на право осуществления деятельности по технической защите конфиденциальной информации от ФСТЭК России и/или ФСБ России Сертификация Сертификация средств защиты информации на соответствие требованиям безопасности информации Аттестация Аттестация объектов информатизации на соответствие требованиям по безопасности информации 2
  3. 3. Сертификация средств защиты информации ОБЗОР СВЯЗАННЫХ С СЕРТИФИКАЦИЕЙ ВОПРОСОВ 3
  4. 4. Требования в законодательстве  ФЗ-152 «О защите персональных данных»  … применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;  Постановление Правительства РФ № 781  п. 5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.  Постановление Правительства РФ от 2010 г. № 330 (Для служебного пользования) 4
  5. 5. Определение сертификации  Сертификация по требованиям безопасности информации представляет собой деятельность по подтверждению характеристик продукта, услуги или системы требованиям стандартов или иных нормативных документов по защите информации.  Системы сертификации:  Во ФСТЭК России принята система сертификации POCC RU.0001.01БИ00.  В ФСБ России принята система сертификации средств криптографической защиты информации POCC RU.0001.030001. 5
  6. 6. Федеральные органы ФСТЭК России ФСБ России Минобороны РФ 6 СВР России
  7. 7. Сертификация и защита персональных данных  В области защиты персональных данных сферы ответственности поделили ФСБ России и ФСТЭК России:  ФСБ России контролирует область криптографической защиты информации.  ФСТЭК России занимается вопросами некриптографической защиты информации от несанкционированного доступа, а также от утечек по техническим каналам связи. 7
  8. 8. Порядок проведения сертификации  «Положение о сертификации средств защиты информации по требованиям безопасности информации», утвержденным приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199.  Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005) Приложение к Приказу ФСБ России от 9 февраля 2005 г. № 66. 8
  9. 9. Сертификация средств защиты информации  Количество сертифицируемых изделий:  Единичный экземпляр;  Партия;  Производство.  Средства защиты могут быть при одинаковом наименовании как проходившие сертификацию, так и не проходившие.  Документом, подтверждающим прохождение сертификации, является сертификат. 9
  10. 10. Образцы сертификатов Линия ФСТЭК России Линия ФСБ России 10
  11. 11. Лицензирование ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ 11
  12. 12. Лицензирование отдельных видов деятельности Техническая защита конфиденциальной информации отнесена к лицензируемым видам деятельности федеральным законом ФЗ – 99 от 4 мая 2011 г. «О лицензировании отдельных видов деятельности». 12
  13. 13. Подлежащие лицензированию виды деятельности по защите информации  разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств;  разработка и производство средств защиты конфиденциальной информации;  выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);  деятельность по технической защите конфиденциальной информации. 13
  14. 14. Порядок проведения лицензирования  Постановление Правительства РФ от 03 февраля 2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»  Постановление Правительства РФ от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» 14
  15. 15. Постановление Правительства РФ от 03 февраля 2012 г. № 79  При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг:  а) контроль защищенности конфиденциальной информации от утечки по техническим каналам…;  б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;  в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации…;  г) аттестационные испытания и аттестация на соответствие требованиям по защите информации…;  д) проектирование в защищенном исполнении средств и систем информатизации; помещений со средствами (системами информатизации), подлежащими защите; защищаемых помещений;  е) установка, монтаж, испытания, ремонт средств защиты информации… 15
  16. 16. Условия получения лицензии Для получения лицензии должны быть выполнены лицензионные условия, контроль их выполнения осуществляется при проведении специальной экспертизы предприятия (организации). 16
  17. 17. Аттестация СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ 17
  18. 18. Законодательство  «Положение по аттестации объектов информатизации по требованиям безопасности информации», утвержденное председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.  «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», утвержденные приказом Гостехкомиссии России от 30 августа 2002 года № 282. 18
  19. 19. Некоторые определения  Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.  Аттестация объектов информатизации – комплекс организационно- технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. 19
  20. 20. Полезные стороны аттестации  Официальное подтверждение эффективности комплекса мер по обеспечению защиты информации;  Комплексный подход, являющийся полноценным аудитом проверяемой системы. 20
  21. 21. Комплексный подход Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. 21
  22. 22. Резюме  Объекты и методы у процессов лицензирования, сертификации и аттестации разные;  Технология осуществления для процессов лицензирования, сертификации и аттестации подразумевает проверку соответствия определённым требованиям;  Документация по результатам оформляется экспертными организациями, у которых есть на то право, на основании их заключений.  Данные процессы тесно переплетаются, зачастую требуется проведение этих процессов совместно. 22
  23. 23. Спасибо за внимание! Семченко Павел Николаевич, к.т.н. pavelsemch@hotmail.com http://spn-solutions.ru +79621508988 23

×