СЗПДн. Эксплуатация. Лицензирование ТЗКИ

В продолжение предыдущей заметки олицензировании.

Недавно на сайте ФСТЭК России было опубликовано три информационных документа, “Перечень оборудования, необходимого для лицензии на ТЗКИ” (утвержден 3 апреля 2012 г.) , “Перечень стандартов и РД, необходимых для получения лицензии на ТЗКИ” (утвержден 16 марта 2012 г.), “Перечень стандартов и РД, необходимых для получения лицензии на производство СЗИ” (утвержден 9 апреля 2012 г.).

Посмотрим каким оборудованием необходимо обладать организации, желающей получить лицензию в рамках защиты СЗПДн. Сделаем следующие предположения:

·        организация планирует проектирование и установку СЗИ делать самостоятельно;

·        аттестация не требуется (так как коммерческая компания);

·        сертификация не требуется (так как средства уже сертифицированы);

·        угрозы утечки по техническим каналам не актуальны;

·        контроль защищенности от НСД  (экспрессаудит) будет заказываться у внешнего аудитора.

Соответственно лицензируемые виды работ:

·        д) проектирование в защищенном исполнении:

o   1- средств и систем информатизации;

·        е) установка, монтаж, испытания, ремонт средств защиты информации:

o   4- программных (программно-технических) средств защиты информации;

o   5- защищенных программных (программно-технических) средств обработки информации;

Нам потребуется оборудование:

·        Программные средства формирования и контроля полномочий доступа в автоматизированных системах = Ревизор 1 ХР и Ревизор 2 ХР;

·        Программные средства контроля целостности программ и программных комплексов = ФИКС;

·        Анализаторы уязвимостей в программном обеспечении и в автоматизированных системах = Ревизор Сети или XSpider;

·        Средства контроля эффективности применения средств защиты информации = Ревизор Сети или XSpider и TERRIER 3.0;

·        Программные средства автоматизированного проектирования = MS Visio или Автокад (только если планируется проектировать сложные распределенные системы).

Кроме последнего пункта, остальное стоит порядка 20 тыс. рублей.  Не так уж и дорого.

Нам потребуется скачать, распечатать, зарегистрировать и изучить документацию открытого доступа:

·        Положение о сертификации средств защиты информации по требованиям безопасности информации, утвержденное приказом Гостехкомиссии России от 27 октября 1995 г. № 199.

·        Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России, 1992.

·        Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники. Гостехкомиссия России, 1992.

·        Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1992.

·        Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Гостехкомиссия России, 1992.

·        Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Гостехкомиссия России, 1992.

·        Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Гостехкомиссия России, 1997.

·        Руководящий документ. Защита информации. Специальные защитные знаки. Классификация и общие требования. Гостехкомиссия России, 1997.

·        Руководящий документ. Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утвержден приказом Гостехкомиссии России от 4 июня 1999 г. № 114.

·        Положение о методах и способах защиты информации в информационных системах персональных данных. Утверждено приказом ФСТЭК России от 5 февраля 2010 г. № 58 (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456)

·        Порядок проведения классификации информационных систем персональных данных. Утвержден приказом ФСТЭК России, ФСБ России, Минкомсвязи России от 13 февраля 2008 г. № 55/86/20.

·        Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.

·        ГОСТ 2.001-93. ЕСКД. Общие положения.

·        ГОСТ 2.004-88. ЕСКД. Общие требования к выполнению конструкторских и технологических документов на печатающих и графических устройствах вывода ЭВМ.

·        ГОСТ 2.101-68. ЕСКД. Виды изделий.

·        ГОСТ 2.105-95. ЕСКД. Общие требования к текстовым документам.

·        ГОСТ 2.106-96. ЕСКД. Текстовые документы.

·        ГОСТ 2.109-73. ЕСКД. Основные требования к чертежам.

·        ГОСТ 2.118-73. ЕСКД. Техническое предложение.

·        ГОСТ 2.119-73. ЕСКД. Эскизный проект.

·        ГОСТ 2.120-73. ЕСКД. Технический проект.

·        ГОСТ 2.601-2006. ЕСКД. Эксплуатационные документы.

·        ГОСТ 2.602-95. ЕСКД. Ремонтные документы.

·        ГОСТ 2.701-2008. ЕСКД. Схемы. Виды и типы. Общие требования к выполнению.

·        ГОСТ 2.784-96 ЕСКД. Обозначения условные графические. Элементы трубопроводов.

·        ГОСТ 19.507-79. ЕСПД. Ведомость эксплуатационных документов.

·        ГОСТ 19.508-79. ЕСПД. Руководство по техническому обслуживанию. Требования к содержанию и оформлению.

·        ГОСТ 19.701-90 (ИСО 5807-85). ЕСПД. Схемы алгоритмов, программ, данных и систем. Обозначения условные и правила выполнения.

·        ГОСТ 19.781-90. Обеспечение систем обработки информации программное. Термины и определения.

·        ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения.

·        ГОСТ 34.201-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем.

·        ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.

·        ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы.

·        ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем.

·        ГОСТ 17168-82. Фильтры электронные октавные и третьоктавные. Общие технические требования и методы испытаний.

·        ГОСТ 21552-84. Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортировка и хранение.

·        ГОСТ 22505-97. Совместимость технических средств электромагнитная. Радиопомехи индустриальные от радиовещательных приемников, телевизоров и другой бытовой радиоэлектронной аппаратуры. Нормы и методы испытаний.

·        ГОСТ 27201-87. Машины вычислительные электронные персональные. Типы, основные параметры, общие технические требования.

·        ГОСТ 27296-87. Защита от шума в строительстве. Звукоизоляция ограждающих конструкций. Методы измерения.

·        ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.

·        ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.

·        ГОСТ Р 50923-96. Дисплеи. Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения.

·        ГОСТ Р 50948-2001. Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности.

·        ГОСТ Р 51319-99. Совместимость технических средств электромагнитная. Приборы для измерения индустриальных радиопомех. Технические требования и методы испытаний.

·        ГОСТ Р 51320-99. Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех.

·        ГОСТ Р ИСО/МЭК 12207-2010. Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств.

·        ГОСТ Р ИСО/МЭК 9126-93. Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению.

·        ГОСТ Р ИСО/МЭК ТО 9294-93. Информационная технология. Руководство по управлению документированием программного обеспечения.

·        МИ 1317-2004. Рекомендация. Государственная система обеспечения единства измерений. Результаты и характеристики погрешности измерений. Формы представления. Способы использования при испытаниях образцов продукции и контроле их параметров.

·        МИ 2377-98. Рекомендация. Государственная система обеспечения единства измерений. Разработка и аттестация методик выполнения измерений.

·        Р 50-34.119-90. Рекомендации. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Архитектура локальных вычислительных сетей в системах промышленной автоматизации. Общие положения.

·        РД 50-682-89. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Основные положения.

·        РД 50-34.698-90. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Требования к содержанию документов.

·        РД 50-680-88. Методические указания. Автоматизированные системы. Основные положения.

·        СанПиН 2.2.2.542-96. Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы.

·        СНиП 23-03-2003. Защита от шума.

·        ГОСТ 29099-91. Сети вычислительные локальные. Термины и определения.

·        ГОСТ Р 50.1.053-2005. Информационные технологии. Основные термины и определения в области технической зашиты информации.

·        ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения.

·        ГОСТ Р 52447-2005. Защита информации. Техника защиты информации. Номенклатура показателей качества.

·        ГОСТ Р 52448-2005. Защита информации. Обеспечение безопасности сетей электросвязи.

·        ГОСТ Р 52633-2006. Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации.

·        ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель.

·        ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.

·        ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспече¬ния безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

·        ГОСТ Р ИСО/МЭК ТО 13335.3-2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.

Нам потребуется заказать в ФСТЭК печатную документацию ограниченного доступа:

·        Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации, Гостехкомиссия России, 2002.

·        Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам, Гостехкомиссия России, 2002.

·        Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах, Гостехкомиссия России, 2002.

·        Нормативно-методический документ. «Специальные требования и рекомендации по технической защите конфиденциальной информации». Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282.

·        Требования к системам обнаружения вторжений. Утверждены приказом ФСТЭК России от 6 декабря 2011 г. № 638.

·        Сборник методических документов по технической защите информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в волоконно-оптических системах передачи.   Утвержден приказом ФСТЭК России от 15 марта 2012 г. № 27дсп

·        ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.

·        ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

·        ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения.

·        ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования.

Будет стоить до 2500 руб.

Собственно вот и все расходы. (в данной статье не рассматриваются требования к специалистам и помещениям из положения о лицензировании ТЗКИ).            

Если хотим сами проводить анализ защищенности, то ещё добавляем и изучаем документы:

·        ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.

·        ГОСТ Р ИСО/МЭК 18028-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности

·        ГОСТ Р ИСО/МЭК ТО 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности

·        ГОСТ Р ИСО/МЭК 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем

·        ГОСТ Р ИСО/МЭК 27033-1-2011. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции.

За наводку и его анализ спасибо Trotsky.