четверг, 19 апреля 2012 г.

СЗПДн. Эксплуатация. Лицензирование ТЗКИ


Недавно на сайте ФСТЭК России было опубликовано три информационных документа, “Перечень оборудования, необходимого для лицензии на ТЗКИ” (утвержден 3 апреля 2012 г.) , “Перечень стандартов и РД, необходимых для получения лицензии на ТЗКИ” (утвержден 16 марта 2012 г.), “Перечень стандартов и РД, необходимых для получения лицензии на производство СЗИ” (утвержден 9 апреля 2012 г.).
Посмотрим каким оборудованием необходимо обладать организации, желающей получить лицензию в рамках защиты СЗПДн. Сделаем следующие предположения:
·        организация планирует проектирование и установку СЗИ делать самостоятельно;
·        аттестация не требуется (так как коммерческая компания);
·        сертификация не требуется (так как средства уже сертифицированы);
·        угрозы утечки по техническим каналам не актуальны;
·        контроль защищенности от НСД  (экспрессаудит) будет заказываться у внешнего аудитора.
Соответственно лицензируемые виды работ:
·        д) проектирование в защищенном исполнении:
o   1- средств и систем информатизации;
·        е) установка, монтаж, испытания, ремонт средств защиты информации:
o   4- программных (программно-технических) средств защиты информации;
o   5- защищенных программных (программно-технических) средств обработки информации;
Нам потребуется оборудование:
·        Программные средства формирования и контроля полномочий доступа в автоматизированных системах = Ревизор 1 ХР и Ревизор 2 ХР;
·        Программные средства контроля целостности программ и программных комплексов = ФИКС;
·        Анализаторы уязвимостей в программном обеспечении и в автоматизированных системах = Ревизор Сети или XSpider;
·        Средства контроля эффективности применения средств защиты информации = Ревизор Сети или XSpider и TERRIER 3.0;
·        Программные средства автоматизированного проектирования = MS Visio или Автокад (только если планируется проектировать сложные распределенные системы).
Кроме последнего пункта, остальное стоит порядка 20 тыс. рублей.  Не так уж и дорого.
Нам потребуется скачать, распечатать, зарегистрировать и изучить документацию открытого доступа:
·        Положение о сертификации средств защиты информации по требованиям безопасности информации, утвержденное приказом Гостехкомиссии России от 27 октября 1995 г. № 199.
·        Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России, 1992.
·        Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. Гостехкомиссия России, 1992.
·        Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1992.
·        Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Гостехкомиссия России, 1992.
·        Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Гостехкомиссия России, 1992.
·        Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1997.
·        Руководящий документ. Защита информации. Специальные защитные знаки. Классификация и общие требования. Гостехкомиссия России, 1997.
·        Руководящий документ. Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден приказом Гостехкомиссии России от 4 июня 1999 г. № 114.
·        Положение о методах и способах защиты информации в информационных системах персональных данных. Утверждено приказом ФСТЭК России от 5 февраля 2010 г. № 58 (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456)
·        Порядок проведения классификации информационных систем персональных данных. Утвержден приказом ФСТЭК России, ФСБ России, Минкомсвязи России от 13 февраля 2008 г. № 55/86/20.
·        Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.
·        ГОСТ 2.001-93. ЕСКД. Общие положения.
·        ГОСТ 2.004-88. ЕСКД. Общие требования к выполнению конструкторских и технологических документов на печатающих и графических устройствах вывода ЭВМ.
·        ГОСТ 2.101-68. ЕСКД. Виды изделий.
·        ГОСТ 2.105-95. ЕСКД. Общие требования к текстовым документам.
·        ГОСТ 2.106-96. ЕСКД. Текстовые документы.
·        ГОСТ 2.109-73. ЕСКД. Основные требования к чертежам.
·        ГОСТ 2.118-73. ЕСКД. Техническое предложение.
·        ГОСТ 2.119-73. ЕСКД. Эскизный проект.
·        ГОСТ 2.120-73. ЕСКД. Технический проект.
·        ГОСТ 2.601-2006. ЕСКД. Эксплуатационные документы.
·        ГОСТ 2.602-95. ЕСКД. Ремонтные документы.
·        ГОСТ 2.701-2008. ЕСКД. Схемы. Виды и типы. Общие требования к выполнению.
·        ГОСТ 2.784-96 ЕСКД. Обозначения условные графические. Элементы трубопроводов.
·        ГОСТ 19.507-79. ЕСПД. Ведомость эксплуатационных документов.
·        ГОСТ 19.508-79. ЕСПД. Руководство по техническому обслуживанию. Требования к содержанию и оформлению.
·        ГОСТ 19.701-90 (ИСО 5807-85). ЕСПД. Схемы алгоритмов, программ, данных и систем. Обозначения условные и правила выполнения.
·        ГОСТ 19.781-90. Обеспечение систем обработки информации программное. Термины и определения.
·        ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.
·        ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.
·        ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.
·        ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.
·        ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем.
·        ГОСТ 17168-82. Фильтры электронные октавные и третьоктавные. Общие технические требования и методы испытаний.
·        ГОСТ 21552-84. Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортировка и хранение.
·        ГОСТ 22505-97. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от радиовещательных приемников, телевизоров и другой бытовой радиоэлектронной аппаратуры. Нормы и методы испытаний.
·        ГОСТ 27201-87. Машины вычислительные электронные персональные. Типы, основные параметры, общие технические требования.
·        ГОСТ 27296-87. Защита от шума в строительстве. Звукоизоляция ограждающих конструкций. Методы измерения.
·        ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
·        ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
·        ГОСТ Р 50923-96. Дисплеи. Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения.
·        ГОСТ Р 50948-2001. Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности.
·        ГОСТ Р 51319-99. Совместимость технических средств электромагнитная. Приборы для измерения индустриальных радиопомех. Технические требования и методы испытаний.
·        ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех.
·        ГОСТ Р ИСО/МЭК 12207-2010. Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств.
·        ГОСТ Р ИСО/МЭК 9126-93. Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению.
·        ГОСТ Р ИСО/МЭК ТО 9294-93. Информационная технология. Руководство по управлению документированием программного обеспечения.
·        МИ 1317-2004. Рекомендация. Государственная система обеспечения единства измерений. Результаты и характеристики погрешности измерений. Формы представления. Способы использования при испытаниях образцов продукции и контроле их параметров.
·        МИ 2377-98. Рекомендация. Государственная система обеспечения единства измерений. Разработка и аттестация методик выполнения измерений.
·        Р 50-34.119-90. Рекомендации. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Архитектура локальных вычислительных сетей в системах промышленной автоматизации. Общие положения.
·        РД 50-682-89. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Основные положения.
·        РД 50-34.698-90. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Требования к содержанию документов.
·        РД 50-680-88. Методические указания. Автоматизированные системы. Основные положения.
·        СанПиН 2.2.2.542-96. Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы.
·        СНиП 23-03-2003. Защита от шума.
·        ГОСТ 29099-91. Сети вычислительные локальные. Термины и определения.
·        ГОСТ Р 50.1.053-2005. Информационные технологии. Основные термины и определения в области технической зашиты информации.
·        ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения.
·        ГОСТ Р 52447-2005. Защита информации. Техника защиты информации. Номенклатура показателей качества.
·        ГОСТ Р 52448-2005. Защита информации. Обеспечение безопасности сетей электросвязи.
·        ГОСТ Р 52633-2006. Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации.
·        ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель.
·        ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.
·        ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспече¬ния безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
·        ГОСТ Р ИСО/МЭК ТО 13335.3-2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.

Нам потребуется заказать в ФСТЭК печатную документацию ограниченного доступа:
·        Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации, Гостехкомиссия России, 2002.
·        Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам, Гостехкомиссия России, 2002.
·        Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах, Гостехкомиссия России, 2002.
·        Нормативно-методический документ. «Специальные требования и рекомендации по технической защите конфиденциальной информации». Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282.
·        Требования к системам обнаружения вторжений. Утверждены приказом ФСТЭК России от 6 декабря 2011 г. № 638.
·        Сборник методических документов по технической защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в волоконно-оптических системах передачи.   Утвержден приказом ФСТЭК России от 15 марта 2012 г. № 27дсп
·        ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
·        ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
·        ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения.
·        ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования.
Будет стоить до 2500 руб.
Собственно вот и все расходы. (в данной статье не рассматриваются требования к специалистам и помещениям из положения о лицензировании ТЗКИ).            

Если хотим сами проводить анализ защищенности, то ещё добавляем и изучаем документы:
·        ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.
·        ГОСТ Р ИСО/МЭК 18028-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности
·        ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности
·        ГОСТ Р ИСО/МЭК 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем
·        ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции.

За наводку и его анализ спасибо Trotsky.

7 комментариев:

Артем Агеев комментирует...

ветер сейчас подул в сторону неполучения лицензии по ТЗКИ для собственных нужд. по крайней мере так говорил Лютиков Виталий Сергеевич, заместитель начальника 2-го Управления ЦА ФСТЭК России.

а оценку соответствия испдн должны делать все организации и коммерческие в том числе.

Сергей Борисов комментирует...

Оценка соответствия != аттестация.

На том же форуме директоров ИБ представитель ФСТЭК говорил что будет новый документ по аттестации и она будет только для гос.

Сергей комментирует...

Плюсы: наконец то "раздробили" лицензию, что позволяет ее получить с подъемными затратами (кстати самая дорогая статья - обучение специалистов, особенно если не дома).
Минусы: теперь будут требовать всем получать, отмазка "дорого" не катит, а сами вряд ли справятся с объемом. Хоя е4,5,6 могут клепать особо не вникая.

pushkinist комментирует...

"наконец то "раздробили" лицензию"

ну так ведь и раньше можно было получать "неполную" лицензию, исходя из вида работ (например без возможности аттестации помещений).
просто раньше лицензию получали, когда нужно было делать аттестации АС, а для этого требуются замеры пэмин => затраты на оборудование и отсюда дороговизна.
а получать "хотя бы какую-нибудь" дешевую лицензию тока ради установки сзи - никому и в голову бы не пришло.

Сергей Борисов комментирует...

Коллеги, прошу заметить, что я не говорил про обязательность получения лицензии "для собственных нужд".
Пока это в законодательстве спорный и окончательно не решенный вопрос.

В данной заметке рассматривается вариант когда организация определила что ей необходима лицензия по каким-то причинам:
- чтобы уменьшить риски от регуляторов
- чтобы в будущем для других организаций выполнять работы и т.п.

-)гоист комментирует...

Сергей, а почему в Вашем комментарии виды деятельности (а-е) разбиваются еще и на отдельные подпункты?
Если организация осуществляет деятельность из подпункта "е", то это автоматом влечет наличие у нее КИО согласно пункту 5в.
Мы же не можем исключать по своему желанию из деятельности, описанной, например, в подпункте "е", действия, связанные защитой от утечек по техническим каналам - ПП-79 просто не допускает такого дробления.

Сергей Борисов комментирует...

Дробление допускается.
Когда получаем лицензию, так и пишем - для чего она будет использоваться (это пойдет на оборот лицензии).
Соответственно дробятся и требования.