Bp-samara.ru

БП Самара
6 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ: ПОНЯТИЕ, ВИДЫ И УРОВЕНЬ

Конвенции и соглашения

Приложение по защите конфиденциальной информации («Приложение по конфиденциальности»)

A. Общие принципы обращения с конфиденциальной информацией

1. Обязательство защищать конфиденциальную информацию относится к проверке как гражданских, так и военных видов деятельности и объектов. Согласно общим обязательствам, изложенным в статье VIII, Организация:

а) запрашивает лишь минимальный объем сведений и данных, которые необходимы для своевременного и эффективного выполнения ее обязанностей по настоящей Конвенции;

b) принимает необходимые меры для обеспечения того, чтобы инспекторы и другие сотрудники Технического секретариата отвечали наивысшим критериям работоспособности, компетентности и добросовестности;

c) разрабатывает соглашения и правила для осуществления положений настоящей Конвенции и как можно точнее определяет информацию, к которой государство-участник предоставляет доступ Организации.

2. Генеральный директор несет первостепенную ответственность за обеспечение защиты конфиденциальной информации. Генеральный директор устанавливает строгий режим обращения с конфиденциальной информацией в Техническом секретариате и при этом соблюдает следующие основные принципы:

а) информация считается конфиденциальной, если

i) она определена как таковая государством-участником, от которого получена и которого касается эта информация; или

ii) по мнению Генерального директора, есть разумные основания полагать, что ее несанкционированное разглашение может нанести ущерб государству-участнику, которого она касается, или механизмам осуществления настоящей Конвенции;

b) все данные и Документы, получаемые Техническим секретариатом, оцениваются соответствующим подразделением Технического секретариата, с тем чтобы установить, содержат ли они конфиденциальную информацию. Данные, требуемые государствами-участниками для того, чтобы иметь уверенность в неуклонном соблюдении настоящей Конвенции другими государствами-участниками, представляются им в обычном порядке. Такие данные включают:

i) первоначальные и ежегодные доклады и объявления, представляемые государствами-участниками согласно статьям III, IV, V и VI, в соответствии с положениями, изложенными в Приложении по проверке;

ii) общие доклады о результатах и эффективности деятельности по проверке; и

iii) информацию, предоставляемую всем государствам-участникам в соответствии с положениями настоящей Конвенции;

c) никакая информация, полученная Организацией в связи с осуществлением настоящей Конвенции, не публикуется и не разглашается иным способом, за исключением следующего:

i) общая информация об осуществлении настоящей Конвенции может компилироваться и широко оглашаться в соответствии с решениями Конференции или Исполнительного совета;

ii) любая информация может быть оглашена с прямого согласия государства-участника, которого эта информация касается;

iii) информация, которая классифицируется как конфиденциальная, оглашается Организацией только на основе процедур, обеспечивающих, чтобы такое оглашение информации имело место лишь в строгом соответствии с потребностями настоящей Конвенции. Такие процедуры рассматриваются и одобряются Конференцией согласно пункту 21 i) статьи VIII;

d) уровень чувствительности конфиденциальных данных или документов устанавливается на основе единообразно применяемых критериев, с тем чтобы обеспечить их соответствующий режим и защиту. С этой целью вводится система классификации, которая, с учетом соответствующей работы по подготовке настоящей Конвенции, предусматривает четкие критерии, обеспечивающие отнесение информации к соответствующей категории конфиденциальности и установление обоснованных сроков конфиденциальности информации. Обеспечивая необходимую гибкость с точки зрения ее применения, система классификации защищает права государств-участников, представляющих конфиденциальную информацию. Система классификации рассматривается и одобряется Конференцией согласно пункту 21 i) статьи VIII;

e) конфиденциальная информация надежно хранится в помещениях Организации. Некоторые данные или документы могут также храниться в Национальном органе государства-участника. Чувствительная информация, включая, среди прочего, фотографии, планы и другие документы, необходимая только для инспекции конкретного объекта, может храниться под замком на этом объекте;

f) в максимальной мере, соответствующей эффективному осуществлению положений настоящей Конвенции о проверке, Технический секретариат обращается с информацией и хранит ее таким образом, чтобы исключить возможность непосредственной идентификации объекта, которого она касается;

g) объем конфиденциальной информации, выходящей за пределы объекта, ограничивается минимальным уровнем, необходимым для своевременного и эффективного осуществления положений настоящей Конвенции о проверке; и

h) доступ к конфиденциальной информации регулируется в соответствии с ее классификацией. Распространение конфиденциальной информации внутри Организации осуществляется строго по принципу «нужной информации».

3. Генеральный директор ежегодно представляет Конференции доклад об осуществлении режима, регулирующего обращение с конфиденциальной информацией в Техническом секретариате.

4. Каждое государство-участник обращается с информацией, которую оно получает от Организации, в соответствии с установленным для этой информации уровнем конфиденциальности. По соответствующей просьбе государство-участник представляет подробные сведения об обращении с информацией, предоставленной ему Организацией.

B. Набор и поведение персонала Технического секретариата

5. Условия труда сотрудников должны обеспечивать соответствие доступа к конфиденциальной информации и обращения с ней процедурам, установленным Генеральным директором в соответствии с разделом А.

6. Каждый пост в Техническом секретариате регулируется официальным описанием поста, в котором указываются необходимые для этого поста рамки доступа к конфиденциальной информации, если такой доступ предусматривается.

7. Генеральный директор, инспекторы и другие сотрудники не разглашают, даже после прекращения выполнения своих функций, никаким не уполномоченным на то лицам никакую конфиденциальную информацию, ставшую им известной при исполнении своих служебных обязанностей. Они не сообщают никакому государству, организации или лицу, не имеющему отношения к Техническому секретариату, никакую информацию, к которой они имеют доступ в связи с проведением ими своей деятельности в отношении любого государства-участника.

8. При выполнении своих функций инспекторы запрашивают лишь такие сведения и данные, которые необходимы для выполнения их мандата. Они никак не фиксируют случайно собранную информацию, не имеющую отношения к проверке соблюдения настоящей Конвенции.

9. Сотрудники заключают с Техническим секретариатом индивидуальные соглашения о сохранении тайны на период их службы и в течение пятилетнего срока после ее окончания.

10. Во избежание необоснованного разглашения инспекторы и сотрудники получают соответствующие наставления и напоминания о соображениях безопасности и о возможных наказаниях, которые они могут понести в случае необоснованного разглашения.

11. Не менее чем за 30 дней до предоставления сотруднику допуска к конфиденциальной информации, относящейся к деятельности на территории или в любом другом месте под юрисдикцией или контролем государства-участника, соответствующее государство-участник уведомляется о намечаемом допуске. Применительно к инспекторам то же требование распространяется на уведомление о предполагаемом назначении.

12. При оценке работы инспекторов и любых других сотрудников Технического секретариата особое внимание уделяется характеристике сотрудника с точки зрения защиты конфиденциальной информации.

C. Меры по защите чувствительных установок и предотвращению разглашения конфиденциальных данных в ходе деятельности по проверке на месте

13. Государства-участники могут принимать такие меры, которые они считают необходимыми для защиты конфиденциальности, при условии соблюдения ими своих обязательств по демонстрации соблюдения согласно соответствующим статьям и Приложению по проверке. Принимая инспекцию, государство-участник может указать инспекционной группе оборудование, документацию или участки, которые оно считает чувствительными и не относящимися к цели инспекции.

Читать еще:  Подделка подписи, статьи 327, 142, 233 по УК РФ – уголовное наказание

14. Инспекционные группы руководствуются принципом проведения инспекций на месте как можно менее интрузивным способом, соответствующим эффективному и своевременному выполнению их задачи. Они учитывают предложения, которые могут быть представлены государством-участником, принимающим инспекцию, на любом этапе инспекции, с тем чтобы обеспечить защиту чувствительного оборудования или информации, не связанных с химическим оружием.

15. Инспекционные группы строго соблюдают положения, изложенные в соответствующих статьях и приложениях, которые регулируют проведение инспекций. Они полностью соблюдают процедуры, предназначенные для защиты чувствительных установок и для предотвращения разглашения конфиденциальных данных.

16. При разработке мероприятий и соглашений по объекту должное внимание уделяется требованию о защите конфиденциальной информации. Соглашения об инспекционных процедурах для отдельных объектов также включают конкретные и подробные меры в отношении определения тех участков объекта, к которым инспекторам предоставляется доступ, хранения конфиденциальной информации на месте, объема инспекционных работ на согласованных участках, отбора и анализа проб, доступа к учетной документации и использования приборов и оборудования для непрерывного наблюдения.

17. В докладе, составляемом после каждой инспекции, содержатся лишь факты, относящиеся к соблюдению настоящей Конвенции. Доклад используется в соответствии с установленными Организацией правилами, регулирующими обращение с конфиденциальной информацией. В случае необходимости содержащаяся в докладе информация облекается в менее чувствительную форму, прежде чем она будет передана за пределы Технического секретариата и инспектируемого государства-участника.

D. Процедуры в случае нарушений или предполагаемых нарушений конфиденциальности

18. Генеральный директор устанавливает необходимые процедуры, которые должны применяться в случае нарушений или предполагаемых нарушений конфиденциальности, с учетом рекомендаций, подлежащих рассмотрению и утверждению Конференцией согласно пункту 21 i) статьи VIII.

19. Генеральный директор осуществляет надзор за исполнением индивидуальных соглашений о сохранении тайны. Генеральный директор незамедлительно возбуждает расследование, если, по его мнению, имеется достаточно признаков нарушения обязательств по защите конфиденциальной информации. Генеральный директор также незамедлительно возбуждает расследование, если государство-участник заявляет о нарушении конфиденциальности.

20. Генеральный директор применяет соответствующие санкции и дисциплинарные меры в отношении сотрудников, нарушивших свои обязательства по защите конфиденциальной информации. В случаях серьезных нарушений Генеральный директор может отказаться от иммунитета в отношении юрисдикции.

21. Государства-участники, по мере возможности, оказывают Генеральному директору содействие и поддержку в расследовании любого нарушения или предполагаемого нарушения конфиденциальности и в принятии соответствующих мер при установлении нарушения.

22. Организация не несет ответственности за любое нарушение конфиденциальности, совершенное сотрудниками Технического секретариата.

23. В случае нарушений, затрагивающих как государство-участник, так и Организацию, этот вопрос рассматривается «Комиссией по урегулированию споров в связи с конфиденциальностью», создаваемой в качестве вспомогательного органа Конференции. Эта Комиссия назначается Конференцией. Правила, регулирующие ее состав и процедуры работы, принимаются Конференцией на ее первой сессии.

Категории информации по степени конфиденциальности

Информация, используемая в предпринимательской и иной деятельности весьма разнообразна. Вся она представляет различную ценность для организации и ее разглашение может привести к угрозам экономической безопасности различной степени тяжести. Боязнь лишиться таких активов заставляет компании создавать иные формы системы защиты, в том числе и организационную, а главное — правовую.

В связи, с чем информация разделяется на три группы:

  • Первая — несекретная (или открытая), которая предназначена для использования как внутри Организации, так и вне нее.
  • Вторая — для служебного пользования (ДСП), которая предназначена только для использования внутри Организации. Она подразделяется, в свою очередь, на две подкатегории:
    • Доступная для всех сотрудников Организации;
    • Доступная для определенных категорий сотрудников Организации, но данная информация может быть передана в полном объеме другому сотруднику для исполнения трудовых обязанностей.
  • Третья — информация ограниченного доступа, которая предназначена для использования только специально уполномоченными сотрудниками Организации и не предназначена для передачи иным сотрудникам в полном объеме или по частям.

Информация второй и третьей категории является конфиденциальной.

Примерный перечень конфиденциальной информации:

  1. Информация, составляющая коммерческую тайну — сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам;
  2. Банковская тайна — сведения об операциях, о счетах и вкладах организаций — клиентов банков и корреспондентов;
  3. Иные виды тайн: адвокатская тайна, нотариальная тайна, тайна переписки и т.д.;
  4. Информация, имеющая интеллектуальную ценность для предпринимателя — техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т.п. и деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.

Что такое коммерческая тайна?

Коммерческая тайна является подвидом конфиденциальной информации (абз. 2 ст. 3 закона «О коммерческой тайне» от 29.07.2004 № 98-ФЗ). Получается, что все сведения, относимые к коммерческой тайне, являются конфиденциальной информацией, но не вся конфиденциальная информация составляет именно коммерческую тайну.

Обладателю неких сведений предоставлено право самостоятельно определить, какие из них могут быть отнесены к коммерческой тайне. При этом такие сведения:

  • Должны подходить под критерии отнесения к такому виду тайны (абз. 2 ст. 3 закона № 98-ФЗ).
  • Не должны быть упомянуты в перечне сведений, в отношении которых в принципе согласно требованиям закона не может быть установлен такой режим (ст. 5 закона № 98-ФЗ). Перечень сведений, которые не могут составлять коммерческую тайну, утвержденный постановлением Правительства РСФСР от 05.12.1991 № 35, по-прежнему формально не утратил юридической силы.

Как происходит определение уровня защищенности персональных данных?

На показатель, кроме категории обрабатываемых личных сведений граждан, влияют и другие параметры:

  1. Форма взаимоотношений между оператором и владельцами ПДн. Информационная система может предполагать обработку данных персонала организации или ИП (имеются ввиду как штатные, так и внештатные сотрудники, с которыми подписаны контракты) либо использовать сведения субъектов, не связанных с организацией трудовым договором.
  2. Типы актуальных УБ. В расчет берутся не все существующие угрозы, а только те, которые можно реализовать в рамках конкретной ИС. Выделяют угрозы 1, 2 и 3 типа. Первый связан с НДВ в системном программном обеспечении, второй — с недекларируемыми возможностями прикладного софта, а третий — вообще не имеет отношения к НДВ используемого ПО.
  3. Количество субъектов, личные данные которых копируются, обновляются, распространяются, блокируются и удаляются. Действующее законодательство предусматривает разделение на ИСПДн, обрабатывающие информацию менее 100 тысяч или более 100 тысяч граждан.

Уровни обозначаются УЗ1, УЗ2, УЗ3 и УЗ4, при этом самым высоким (то есть требующим наиболее серьезной защиты) является первый, а самым низким — четвертый.

Читать еще:  Правила поведения в СИЗО? Как себя вести в первый раз?

Чтобы определить 1, 2, 3 или 4 уровень защищенности ИСПДн, можно воспользоваться таблицей либо специальным онлайн-калькулятором, который есть на сайте ФСТЭК. Вам потребуется указать тип актуальных угроз, категорию ПДн, количество субъектов и взаимоотношения с ними (являются они вашими сотрудниками или нет), после чего программа сама рассчитает показатель. Но есть важный нюанс. Если неверно установить какой-либо из исходных параметров, например, преуменьшить или преувеличить тип УБ, то класс будет установлен неправильно. Избежать этого возможно при помощи привлечения экспертов в области информационной безопасности, которые грамотно выполнят за вас данную работу. Наиболее актуален подход, при котором обязанности по определению угроз и интеграции средств защиты на возлагаются на профессионалов. Так удастся в короткие сроки привести систему в соответствие ФЗ-152, требованиям ФСТЭК и ФСБ (если нужно) и исключить штрафные санкции в будущем.

Средства защиты конфиденциальной информации

Все средства и мероприятия, нацеленные на защиту конфиденциальной информации, базируются на трех уровнях:

  1. Правовой, обеспечивающий единый госстандарт по информационной защите, но не нарушающий права пользователей. Уровень регламентируется Законом РФ «Об информации, информатизации и защите информации», подзаконными актами РФ, внутриорганизационными положениями о защите конфиденциальной информации, определяющими работу с «закрытой» документацией. На этом уровне от нас требуется так выстроить информационную систему и решения по ее защите, чтобы не нарушить права пользователей и нормы обработки данных.
  2. Организационный, упорядочивающий работу с конфиденциальной документацией, определяющий степени и уровни доступа пользователей в информационные системы, носителями информации. Этот уровень предотвращает утечку сведений по халатности или небрежности персонала, сводя его к минимуму.
    • Сюда относятся архитектурно-планировочные мероприятия и решения, структурирование систем запросов и выдача допусков на пользование Интернетом, корпоративной электронной почтой, сторонними ресурсами.
    • Права на получение и использование подписи в электронном цифровом виде, следование корпоративным и морально-этическим правилам, принятым внутри организации, также являются важными составляющими защиты конфиденциальных данных.
  1. Технический уровень защиты конфиденциальной информации включает подуровни – аппаратный, криптографический, программный, физический.

Организация защиты конфиденциальных данных

Организационные мероприятия по защите конфиденциальной информации начинаются с разработки регламента работы пользователей с информационной системой и информацией в ней. Правила доступа разрабатываются нашими специалистами совместно с руководством предприятия, службой безопасности.

Уровни правовой и организационной защиты данных являются неформальными средствами защиты информации. Кроме административных (организационных) регламентов и законодательных (правовых) норм сюда можно отнести и морально-этические правила. Наша задача на административном уровне – пресечь, сделать невозможными повреждения или утечки данных вследствие нерадивости, халатности или небрежности персонала.

Решение поставленной задачи достигается за счет комплекса административных и технических мероприятий:

  • разграничение и реализация прав доступа к конфиденциальным сведениям;
  • защита переговорных комнат, кабинетов руководства от прослушки;
  • оформление службы запросов на доступ к информационным ресурсам (внутренним и внешним);
  • получение и обучение работы с электронными цифровыми подписями (ЭЦП).

Техническая защита конфиденциальных сведений

Физический, аппаратный, программный и криптографический уровни обеспечения защиты конфиденциальных данных относятся к формальным средствам. Это софт и «железо».

Физический способ предполагает поддержание работы механизмов, являющихся препятствием для доступа к данным вне информационных каналов: замки, видеокамеры, датчики движения/излучения и т.п. Это оборудование действует независимо от информационных систем, но ограничивает доступ к носителям информации.

Аппаратными средствами безопасности считаются все приборы, монтируемые в телекоммуникационных или информационных системах: спецкомпьютеры, серверы и сети организации, система контроля работников, шумовые генераторы, любое оборудование, перекрывающее возможные каналы утечек и обнаруживающее «дыры» и т.д.

Программные средства представляет комплексное решение, предназначенное для обеспечения безопасной работы (пример – DLP и SIEM системы, блокирующие возможную утечку данных и анализирующие реальные сигналы тревоги от устройств и приложений сетевого характера):

  • DLP (Data Leak Prevention, предотвращение утечки данных) – средства для пресечения утечки данных, модификации информации, перенаправления информационных потоков;
  • SIEM (Security Information and Event Management, управление событиями и информационной безопасностью) – анализ в режиме реального времени сигналов об угрозах, ведение журнала данных, создание отчетов. SIEM представлены приложениями, приборами, программным обеспечением.

Криптографическая (математическая) защита позволяет безопасно обмениваться данными в глобальной либо корпоративной сетях. Математические преобразованные, шифрованные каналы считаются оптимально защищенными. Но стопроцентной защиты никто гарантировать не может!

Криптография (шифрование) данных считается одним из самых надежных способов – технология сохраняет саму информацию, а не только доступ к ней. Средства шифрования обеспечивают защиту физических и виртуальных носителей информации, файлов и каталогов (папок), целых серверов.

Средства криптографической защиты конфиденциальной информации требуют внедрения программно-аппаратного комплекса:

  • с использованием криптопровайдеров (программных компонентов шифрования);
  • организацией VPN;
  • применением средств формирования, контроля и использования ЭЦП.

При внедрении систем шифрования данных следует заранее продумать их совместимость с иными системами (включая внешние).

Техническая защита конфиденциальной информации в организации требует проведения аттестации – набора организационных и иных мероприятий, достаточных для безопасной работы с конфиденциальными данными. Аттестация базируется на требованиях и рекомендациях ФСТЭК, применяется для защищаемых помещений и автоматизированных систем.

Отсутствие или недостаточное внимание к одной из составляющих защиты конфиденциальной информации на предприятии может закончиться тем, что внутренние данные окажутся достоянием мошенников. Обеспечивая информационную безопасность, необходимо всегда использовать комплексные меры, учитывающие множественность способов защиты.

Аттестация на соответствие требованиям по защите информации

«АСТ» имеет аккредитацию ФСТЭК России в качестве центра аттестации ОИ, а также обладает необходимым набором лицензий ФСТЭК и ФСБ для проведения аттестации соответствующих ИС. Мероприятия предусматривают комплексную проверку защищаемого ОИ в реальных условиях эксплуатации, в ходе которой выполняются все необходимые виды работ.

Аттестация объекта информатизации (ОИ) – это завершающий этап работ по внедрению средств ИБ, призванный подтвердить соответствие объекта требованиям нормативных документов регулирующих органов в сфере защиты информации. Аттестация проводится в виде комплекса организационно-технических мероприятий, по результатам которых выдается «Аттестат соответствия» тем или иным требованиям и нормативам, на соответствие которым она проводится. Аттестация позволяет проверить и подтвердить действительную степень защищенности ИС, успешность выполненного проекта внедрения средств ИБ, а также соответствие защищенности информации нормативам. В 15-20% случаев на этом этапе удается выявить и исправить недоработки, которые могли бы привести к нежелательным и опасным последствиям.

Аттестация может быть как добровольная, так и обязательная.

  • Добровольная – проводится по инициативе владельца ОИ и служит для подтверждения его соответствия определенным нормативам и требованиям по безопасности информации в случаях, когда требуется либо подтверждение функциональных показателей, либо независимая экспертная оценка.
  • Обязательная – проводится для ОИ в случаях, установленных федеральным законодательством РФ и правовыми актами уполномоченных контролирующих органов. Так, обязательной аттестации подлежат ОИ, предназначенные для обработки сведений, представляющих государственную тайну, государственные и муниципальные ИС и пр. Также, аттестация является обязательной при подготовке к получению лицензий на определенные виды деятельности.
Читать еще:  Госпитализация в недобровольном порядке в психиатрический стационар

«АСТ» имеет аккредитацию ФСТЭК России в качестве центра аттестации ОИ, а также обладает необходимым набором лицензий ФСТЭК и ФСБ для проведения аттестации соответствующих ИС. Мероприятия предусматривают комплексную проверку защищаемого ОИ в реальных условиях эксплуатации, в ходе которой выполняются все необходимые виды работ. Аттестация охватывает весь спектр объектов, подлежащих контролю соответствия требованиям:

  • Информационные системы
  • Рабочие места, оснащенные средствами автоматизации
  • Сети передачи данных
  • Помещения

«АСТ» проводит аттестацию ОИ на соответствие:

  • Требованиям по защите персональных данных (152-ФЗ, приказ 21 ФСТЭК)
  • Требованиям по защите государственных информационных систем (приказ 17 ФСТЭК России)
  • Требованиям по защите конфиденциальной информации
  • Требованиям, предъявляемым к ИС, обрабатывающим информацию, составляющую государственную тайну

Виды выполняемых при проведении аттестации ОИ работ:

  1. Определение перечня ОИ, подлежащих аттестации, категорирование и классификация
  2. Анализ и оценка исходных данных и документации по защите информации на ОИ, оценка правильности категорирования
  3. Проверка соответствия представленных исходных данных реальным условиям размещения и эксплуатации ОИ
  4. Разработка документации (включая как паспорта ОИ, так и организационно-распорядительную документацию) на ОИ, подготавливаемые к аттестационным испытаниям
  5. Проверка технологического процесса хранения и обработки информации, определение возможных каналов утечки информации и разработка перечня мероприятий по их исключению
  6. Оценка соответствия помещений, в которых установлены ОИ предъявляемым требованиям, включая, при необходимости, специальную проверку на наличие внедренных устройств перехвата информации
  7. Оценка уровня подготовки персонала
  8. При необходимости, проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации)
  9. Подготовка и утверждение программы и методики проведения аттестационных испытаний
  10. Проведение аттестационных испытаний, включая отдельные технические и программные средства, инженерное, ИТ-оборудование и пр.
  11. Проведение испытаний объектов информатизации на соответствие требованиям по защите информации от несанкционированного доступа и утечки по техническим каналам
  12. Подготовка отчетной документации (протоколов испытаний, заключения по результатам аттестационных испытаний)
  13. Выдача, при условии положительного заключения, «Аттестата соответствия»
  14. Анализ результатов аттестационных испытаний, разработка рекомендаций по совершенствованию принятых мер по защите информации от утечки по техническим каналам, закрытию выявленных каналов утечки информации.

В результате проведения работ заказчику выдается «Аттестат соответствия объекта информатизации требованиям по безопасности информации» сроком на 3 года.

Сертификация ФСТЭК для чайников

Что такое сертификация ФСТЭК?

Сертификация ФСТЭК – процедура получения документа, подтверждающего, что средство защиты информации соответствует требованиям нормативных и методических документов ФСТЭК России.

Сертификация ФСТЭК для средств защиты информации создана для того, чтобы обеспечить:

  • Защиту конфиденциальной информации строго определенного уровня.
  • Возможность для потребителей выбирать качественные и эффективные средства защиты информации.
  • Содействие формированию рынка защищенных информационных технологий и средств их обеспечения.

Зачем нужна сертификация ФСТЭК?

Сертификация ФСТЭК необходима для строго определенных сфер деятельности и ее необходимость зависит от того, какая именно информация будет обрабатываться в той или иной информационной системе.

Сферы деятельности с обязательной сертификацией средств защиты информации:

  • Государственные информационные системы (ГИС).
  • Автоматизированные системы управления технологическим процессом (АСУ ТП).
  • Персональные данные (ЗПДн).
  • Критическая информационная инфраструктура (КИИ).
  • Государственная тайна (ЗГТ).
  • Конфиденциальная информация (служебная информация).

Несертифицированный продукт невозможно использовать в тех сферах деятельности, где обязательно использование сертифицированных продуктов.

Использование компанией несертифицированной продукции в сфере деятельности, требующей обязательной сертификации средств защиты информации, может повлечь за собой серьезные последствия: от больших штрафов до уголовной ответственности для руководителей.

Отличия сертифицированных версий от версий общего пользования

Сертифицированные версии решений поставляются с соответствующим сертификатом, формуляром, инструкциями и прочими документами, подтверждающими класс, уровень защищенности информационной системы.

У сертифицированных версий продуктов есть свои особенности:

  1. Их непросто обновлять. Сертификация продукта занимает от 0,5 до 1 года. И обычно ее делают на версии продуктов, которые уже отлажены, проверены на практике, имеют достаточное количество накопленных обновлений. Таким образом, сертифицированные версии запаздывают по сравнению с версиями общего пользования.
  2. У сертифицированной версии могут быть дополнительные ограничения, связанные с определенным уровнем защищенности или классом защиты. Если мы говорим про ОС и офисные продукты, то в версии с сертификацией ФСТЭК могут быть закрыты некоторые функции и опции. Особенно, если есть сертификат на отсутствие недекларированных возможностей.

Когда можно покупать решения общего пользования, а когда нужны сертифицированные?

В пределах одной компании может быть несколько информационных систем. Некоторые из них нуждаются в сертифицированных средствах защиты, а некоторые – нет. Все зависит от характера информации, которая обрабатывается в этих системах. В случае, если данные касаются вышеперечисленных сфер деятельности, сертификация обязательна.

Можно ли устанавливать на сертифицированную операционную систему несертифицированные продукты?

При необходимости можно использовать пакеты, которые не входят в состав дистрибутива, поставляемого вместе с операционной системой. Для этого несертифицированные продукты должны соответствовать следующим требованиям:

  • Их установка не требует замены пакетов, входящих в состав сертифицированного дистрибутива.
  • Они не имеют отношения к средствам защиты информации.
  • Они могут работать в замкнутой программной среде.

Для удобства контроля и обновления сторонние пакеты помещаются в служебный репозиторий.

В том случае, если продукт относится к средствам защиты информации, он должен быть обеспечен соответствующим сертификатом.

Что делать, если изменился характер деятельности компании, а продукты не сертифицированы?

Есть два варианта дальнейшего развития событий:

  1. Приобретение сертифицированной версии продукта, возможно, со скидкой производителя, если предыдущая версия принадлежит тому же разработчику. В этом случае с большой вероятностью придется сделать даунгрейд – откат решения до предыдущей сертифицированной версии.
  2. Можно не менять решение, а приобрести сертифицированные наложенные программные или программно-аппаратные средства, в зависимости от того, какую подсистему нужно закрыть.

Требования ФСТЭК могут измениться, насколько это может затронуть компанию-пользователя?

Требования ФСТЭК меняются не единовременно. О любых изменениях предупреждают заранее. Кроме того, после принятия нового документа с требованиями дается около года на то, чтобы подготовить все системы компании к новым реалиям.

Чем может помочь компания Softline?

  • В ряде случаев поставщики сертифицированных решений также должны обладать соответствующими лицензиями. У нас есть все необходимые статусы для поставки широкого круга сертифицированных продуктов и оказания услуг по их внедрению.
  • У нас большая экспертиза в вопросе поставок сертифицированных решений и ведется сотрудничество с огромным количеством вендоров. Мы всегда сможем квалифицированно определить, в каком случае нужна сертифицированная, а в каком – несертифицированная версия продуктов, а затем выбрать оптимальный вариант.

Автор статьи: руководитель органа по аттестации объектов информатизации Softline Антон Казаков

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector