На какой срок выдается сертификат фстэк на средства защиты конфиденциальной информации

Срок получения лицензий ФСТЭК

Конечно же, срок в первую очередь зависит от вида лицензии и лицензионных пунктов в ней.

Но начнем не с этого.
Многие думают, что получить лицензию ФСТЭК — это пять минут и пять копеек.
Узнав, что госпошлина составляет 7500 руб., а законодательно установленный срок составляет 45 рабочих дней, считают, что это все, но очень ошибаются.

Весь срок получения лицензии правильно разделить на две категории:

Если срок рассмотрения документов во ФСТЭК законодательно установлен (45 рабочих дней), то срок подготовки прямо зависит от соискателя лицензии и исполнителя работ по подготовке соискателя к получению лицензии.

Дело в том, что не всю подготовку к лицензии соискатель лицензии может выполнить самостоятельно.
Соискателю лицензии в любом случае придется покупать следующие работы/услуги и товары:

Следующие работы/услуги соискатель лицензии заказывает по желанию:

Типовые сроки подготовки к лицензии выглядят следующим образом:

В итоге минимальный срок подготовки к получению лицензии (к подаче во ФСТЭК пакета документов) составляет около 1 мес., если все процессы подготовки запустить параллельно.

Прибавив этот срок к сроку рассмотрения пакета документов во ФСТЭК России (45 рабочих дней), мы видим, что итоговый срок получения лицензии составляет не менее 3 мес.

На практике так и получается. Те компании, которым лицензия нужна быстро, запускают всю подготовку параллельно и за 3 месяца получают лицензию на руки.

Мы знаем по теме лицензирования «все» и скажем твердо:

Надеемся, у нас получилось раскрыть тему сроков получения лицензий в полном объеме. Подробнее узнать о сроках получения конкретной лицензии вы можете, перейдя в соответствующий раздел сайта:
Лицензия ФСТЭК ТЗКИ
Лицензия ФСТЭК СЗКИ
Лицензия ФСТЭК ТЗИ ГТ
Лицензия ФСТЭК СЗИ ГТ
Лицензия ПД ИТР

Виды аттестации

Вид аттестации определяется типом объекта информатизации (защищаемое помещение или автоматизированная система). Для автоматизированных информационных систем на текущий момент существуют следующие требования и, соответственно, виды аттестации:

По требованиям к АС ОКИ (СТР-К и РД АС) могут аттестоваться любые государственные и коммерческие информационные системы, в которых обрабатываются
несколько видов конфиденциальной информации одновременно (в соответствии с Указом Президента № 188). Но тем не менее, если АС ОКИ относится к ГИС, то ФСТЭК России настоятельно рекомендует аттестовывать ГИС, так сказать, по новым требованиям — по 17 приказу ФСТЭК. Потому что СТР-К и РД АС это уже устаревшие нормативные документы, предшествующие 17 и 21 приказам ФСТЭК.

По требованиям к ИСПДн аттестуются коммерческие автоматизированные системы любого назначения, в которых обрабатываются персональные данные.

По требованиям к государственным информационным системам (по приказу ФСТЭК № 17) аттестуются информационные системы, зарегистрированные в Минсвязи, как ГИС, а также иные информационные системы по желанию заказчика.

По требованиям к АСУ ТП аттестуются только специализированные автоматизированные системы промышленного типа, например, АСУ ТП завода, атомной станции, железнодорожной станции и др.

По требованиям к ИСОП аттестуются только специализированные информационные системы: сайты ведомств и иные публичные ресурсы, на которых размещается общедоступная информация.

По требованиям к АБС аттестуются, как правило, только банковские автоматизированные системы.

Кто и как контролирует аттестованные объекты?

ФСТЭК России поручила лицензиатам ФСТЭК проводить контроль аттестованных ими объектов.

В соответствии с нормативно-правовыми актами ФСТЭК России:

Сертификация средств защиты персональных данных по 152-ФЗ

Российские требования предусматривают необходимость проверки встроенных в программные продукты средств защиты информации, организацию различных технических и организационно-распорядительных мероприятий по обеспечению безопасности. Федеральный закон дает определение, какая информация попадает под определение персональных данных, назначает ответственных по их защите, проведению классификации.

Все юридические лица и индивидуальные предприниматели, обрабатывающие персональные данные в процессе деятельности, обязаны пройти сертификацию по 152-ФЗ по трем этапам:

Все программное обеспечение, осуществляющее защиту ПД, обязательно к согласованию и сертификации на уровнях главных регуляторов — Федеральной службы безопасности и Федеральной службы по техническому и экспортному контролю.

Порядок работ по методике, утвержденной ФСТЭК, выглядит так:

Стоимость сертификации в соответствии с 152-ФЗ складывается из:

Работы по сертификации выделяются в отдельный проект с отдельным бюджетом. Необходимая «золотая середина» средств защиты рассчитывается после предпроектного обследования и написания техпроекта. Для клиентов существуют готовые типовые решения, оптимизированные под разного рода потребности, и не требующие значительных финансовых затрат.

Является ли аттестация обязательной для коммерческих организаций?

Форма оценки соответствия «Аттестация по требованиям безопасности информации» носит рекомендательный характер для коммерческих организаций согласно следующим пунктам нормативной документации:

Однако в соответствии со следующими действующими нормативно-правовыми актами РФ необходимо провести «оценку эффективности реализованных мер защиты информации (персональных данных)»:

Законодательно установлена только одна форма оценки соответствия автоматизированных информационных систем требованиям безопасности информации – аттестация по требованиям безопасности информации.

Поэтому лучше не выдумывать иные формы оценки и провести общепринятую, понятную и принимаемую контролирующими органами форму оценки соответствия — аттестацию ФСТЭК России.

Типовые организации и применимые к ним НПА

Далее мы предлагаем рассмотреть на примере типовой организаций перечень применимых НПА и проанализировать имеющиеся в них требования о необходимости использования сертифицированных средств защиты информации.

В качестве наиболее показательного примера нами была выбрана организация финансового сектора – небольшой региональный банк, являющийся участником платежной системы Банка России, предлагающий своим клиентам возможность идентификации посредством использования биометрической информации. Также предположим, что Банк не осуществляет обработку сведений, составляющих государственную тайну – при наличии такого рода информации вопрос о необходимости использования сертифицированных СЗИ, как мы понимаем, не стоит. Далее по тексту будут раскрыты еще несколько особенностей выбранной нами организации, обосновывающие применение тех или иных НПА. Для простоты далее будем именовать наш пример как просто «Банк».

Для того, чтобы ответить на поставленные нами в самом начале вопросы, специалисту по информационной безопасности необходимо изучить довольно объемный список нормативных актов, а именно:

Как можно заметить, для выбранного нами примера список применимых документов выглядит вполне внушительным.

Но не стоит думать, что для иных организаций он будет значительно меньше. Так, например, для страховой организации в общем случае этот перечень уменьшится лишь на несколько положений БР, СТО БР, БР № 4-МР, а для субъекта КИИ, не являющегося финансовой организацией, применимы останутся как минимум пункты 4 и 5 представленного выше списка.

Чем отличается аттестация от декларации соответствия?

Начнем с того, что применительно к объектам информатизации (защищаемые помещения или автоматизированные системы) законодательно установлена только одна форма оценки эффективности реализованных мер защиты — «Аттестация по требованиям безопасности информации».

В частности, это указано в НПА:

Но так как указанные выше документы ограниченного распространения (имеют гриф «ДСП»), то не все коммерческие организации имеют право с ними ознакомиться, не знают, какие процедуры оценки соответствия законодательно установлены, и сам порядок оценки.

Ввиду вышеозвученного была придумана еще одна процедура оценки соответствия – декларация соответствия.

Итого мы имеем:
Аттестация:

Продление срока действия сертификата СЗИ

Вопрос продления срока действия сертификата регулируется информационным
сообщением ФСТЭК России по вопросу продления сроков действия сертификатов
соответствия на средства защиты информации, эксплуатируемые на объектах
информатизации от 23 января 2015 г. №. В информационном
сообщении устанавливается порядок продления сертификата соответствия на
СЗИ, эксплуатирующими организациями и образец заявки на продление
сертификата соответствия.

Читать также:  К сертификату нет доверия так как отсутствует цепочка сертификатов издателя

В соответствии с постановлением Правительства Российской Федерации от 26
июня 1995 г. № «О сертификации средств защиты информации» и Положением
о сертификации средств защиты информации по требованиям безопасности
информации, утвержденным приказом Гостехкомиссии России от 27 октября 1995
г. №, на отдельные экземпляры средств защиты информации,
эксплуатируемые на объекте (объектах) информатизации, продление сроков
действия сертификатов соответствия может быть обеспечено организацией,
эксплуатирующей данные средства защиты, и проведено по упрощенной схеме.

Заявитель на сертификацию средства защиты информации не позднее, чем
за до окончания срока действия сертификата
соответствия принимает решение о продлении или об отказе в продлении срока
действия сертификата соответствия и информирует организации,
эксплуатирующие данное средство защиты информации, о принятом решении любым доступным способом,
в том числе через официальный сайт заявителя в сети Интернет.

Организация, эксплуатирующая средство защиты информации, до окончания срока
действия сертификата соответствия может в инициативном порядке обратиться к заявителю для
получения информации о принятом заявителем решении. В случае отказа
заявителя в продлении срока действия сертификата соответствия организация,
эксплуатирующая средство защиты информации,
организует продление срока действия данного сертификата соответствия.

Условия продления срока действия сертификата СЗИ:

Для продления срока действия сертификата соответствия организация,
эксплуатирующая средство защиты информации, заблаговременно направляет в
ФСТЭК России заявку на продление срока действия сертификата соответствия:

На какой срок выдается сертификат фстэк на средства защиты конфиденциальной информации

В заявке указывается: дата выдачи и номер сертификата, наименование
продукции, на которую выдан сертификат, кем и когда оформлен протокол
испытаний. В протоколе испытаний содержатся общие сведения об объекте
контроля, сведения о проверке подсистем средства защиты информации, о
подсчете контрольных сумм, делаются выводы о проведенном контроле.

В разделе «Общие сведения» приводится описание объекта контроля, где
установлено средство ЗИ, назначение объекта, вид и метод контроля, цель
контроля, класс защищенности от НСД, применяемые нормативные и руководящие
документы.

Информация о средствах защиты от НСД, применяемых на объекте контроля
оформляется в виде таблицы:

Фиксация и контроль целостности информации, подсчет контрольных сумм
производится при помощи специальных программ, сертифицированных ФСТЭК России.

На какой срок выдается сертификат фстэк на средства защиты конфиденциальной информации

Лицензия ФСТЭК СЗКИ

Данная лицензия необходима всем разработчикам программного обеспечения (ПО) с функциями защиты информации и другим компаниям, осуществляющим разработку и(или) производство ПО.

Что понимается под функциями защиты информации?

Чтобы ПО считалось защищенным и, соответственно, требовалась лицензия ФСТЭК СЗКИ, в программном обеспечении должна быть реализована хотя бы одна классическая функция защиты информации:

Что понимается под производством ПО?

Представьте себе завод по производству йогуртов. Кто-то придумал рецепт йогурта, а кто-то его заливает в баночки. Так, и разработчиком и производителем ПО могут быть две разные организации. Одна организация разрабатывает ПО, а вторая его производит.

Под производством понимается запись на носители информации эталонного образца ПО (утвержденного разработчиком как эталонный) и формирование комплекта поставки ПО. На оба указанных выше вида деятельности по разработке и производству ПО необходимо получить лицензии ФСТЭК СЗКИ.

Как правило, комплектность ПО для поставки (продажи) клиентам следующая:

Для сертифицированного во ФСТЭК ПО добавляется:

Лицензия ФСТЭК СЗКИ необходима (должна быть у изготовителя ПО) для инициирования процедуры сертификации ПО в ФСБ и(или) ФСТЭК России (пункт 9 и пункт 20 «Положения о системе сертификации средств защиты информации», утв. Приказом ФСТЭК № 55 от 3 апреля 2018 года).

Лицензия ФСТЭК на СЗКИ получается в соответствии с Постановлением Правительства №171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации».

Можно ли вносить изменения в аттестованную систему?

Можно, но если изменения влияют на защищенность обрабатываемой информации, то это влечет за собой необходимость переаттестации автоматизированной системы (далее – АС), или аттестат аннулируется.

Какие изменения могут влиять на защищенность?

В первую очередь это:

В случае таких изменений аттестованная автоматизированная система подлежит переаттестации.

Конечно же, так как автоматизированная система была ранее аттестована, стоимость переаттестации будет существенно ниже первичной аттестации. Например, в случае добавления объектов вычислительной техники (серверов, АРМ, виртуальных машин) необходимо защитить (установить на них средства защиты) добавленные ОВТ, и аттестованный ранее объект будет считаться защищенным. Но, само собой, оценку защищенности может проводить только лицензиат ФСТЭК России с пунктом «аттестация» в его лицензии ФСТЭК. Поэтому в случае указанных изменений необходимо обращаться именно к лицензиату ФСТЭК, проводившему аттестацию объекта.

За что может быть отобран (отозван) аттестат?

Достаточно одной из перечисленных причин:

При установлении лицензиатом ФСТЭК России, проводившим аттестацию объекта, хотя бы одного критерия, влияющего на безопасность, и нежелании (невозможности) заказчика устранить допущенное нарушение в кратчайший срок – лицензиат ФСТЭК России направляет в адрес заказчика уведомление об отзыве аттестата. Затем вносит запись об аннулировании аттестата в реестр выданных аттестатов с уведомлением об этом ФСТЭК России.

Нужно ли переаттестовывать систему в случае выхода новых требований по безопасности?

В случае, если объект уже аттестован, например, по требованиям СТР-К и РД АС, и вдруг выходят новые требования по безопасности (как это произошло в 2013 году), то в соответствии с разъяснениями ФСТЭК России от 20 ноября 2012 г. № 240/24/4669 новые требования применяются только для вновь создаваемых автоматизированных систем, т.е. для ранее не аттестованных.

Соответственно, в случае выхода новых требований по безопасности информации ранее аттестованные объекты могут использоваться до окончания срока действия выданного аттестата.

Средства защиты информации

Средства защиты информации (СЗИ) – это специализированные программные, программно-аппаратные средства, предназначенные для защиты от актуальных угроз.

При защите информации, требования к защите которой определены действующим законодательством, применяемые СЗИ должны обладать сертификатами соответствия требованиям регуляторов. Для большинства СЗИ требуется наличие сертификатов, выданных Федеральной службой по техническому и экспортному контролю России, однако в случае необходимости применения средств криптографической защиты информации (СКЗИ) требуется наличие сертификатов, выданных Федеральной службой безопасности России.

Организация, устанавливающая данные СЗИ в виде услуги, должна обладать лицензиями, выданными соответствующими лицензирующими органами. КГ НИЦ является партнером ведущих производителей средств защиты информации, обладает необходимыми лицензиями и обширным опытом работы с ними

На какой срок выдается сертификат фстэк на средства защиты конфиденциальной информации

Мы поможем Вам подобрать комплексные решения, которые будут оптимальны именно для Вашей организации, организуем поставку, проведем установку и настройку в соответствии с особенностями Вашей информационной инфраструктуры и требованиями регуляторов.

Средства защиты от несанкционированного доступа (CЗИ от НСД) — это программные и/или аппаратные средства, позволяющие предотвратить попытки несанкционированного доступа, такие как неавторизованный физический доступ, доступ к файлам, хранящимся на компьютере, уничтожение конфиденциальных данных.

Функции СЗИ от НСД:

Модуль доверенной загрузки (МДЗ) представляет собой комплекс аппаратно-программных средств (плата, аппаратные средства идентификации и аутентификации, программное обеспечение для поддерживаемых операционных систем), устанавливаемый на рабочее место вычислительной системы (персональный компьютер, сервер, ноутбук, специализированный компьютер и др.) и выполняет следующие функции:

Читать также:  Что можно написать на подарочном сертификате маме

В зависимости от реализации модули доверенной загрузки различаются на аппаратно-программные и программные. Функции исполняемые МДЗ в зависимости от вида могут различаться.

Межсетевой экран (файрвол, МЭ) — это локальное (однокомпонентное) или функционально — распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему и/или выходящей из информационной системы.

Среди задач, которые решают межсетевые экраны, основной является защита сегментов сети или отдельных хостов от несанкционированного доступа с использованием уязвимых мест в протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах сети. Межсетевые экраны пропускают или запрещают трафик, сравнивая его характеристики с заданными шаблонами.

Наиболее распространённое место для установки межсетевых экранов — граница периметра локальной сети для защиты внутренних хостов от атак извне. Однако атаки могут начинаться и с внутренних узлов — в этом случае, если атакуемый хост расположен в той же сети, трафик не пересечёт границу сетевого периметра, и межсетевой экран не будет задействован. Поэтому в настоящее время межсетевые экраны размещают не только на границе, но и между различными сегментами сети, что обеспечивает дополнительный уровень безопасности

Выделяют следующие виды межсетевых экранов:

межсетевой экран уровня сети;

межсетевой экран уровня логических границ;

межсетевой экран уровня узла;

межсетевой экран уровня веб-сервера колу передачи гипертекста, проходящих к веб-серверу и от веб-сервера;

межсетевой экран уровня промышленной сети.

Системы обнаружения и предотвращения вторжений (IPS/IDS) — это комплекс программных или аппаратных средств, которые выявляют факты и предотвращают попытки несанкционированного доступа в корпоративную систему. Их обычно разделяют на два основных компонента: системы обнаружения, IDS, и IPS — системы предотвращения вторжений.

К основным функциям систем IDS относятся:

Концептуальная схема систем обнаружения вторжений включает в себя:

Выделяют следующие виды систем обнаружения вторжений:

Сканеры уязвимостей — это программные или аппаратные средства, служащие для осуществления диагностики и мониторинга сетевых компьютеров, позволяющее сканировать сети, компьютеры и приложения на предмет обнаружения возможных проблем в системе безопасности, оценивать и устранять уязвимости.

Сканеры уязвимостей позволяют проверить различные приложения в системе на предмет наличия «дыр», которыми могут воспользоваться злоумышленники. Также могут быть использованы низкоуровневые средства, такие как сканер портов, для выявления и анализа возможных приложений и протоколов, выполняющихся в системе.

В нормативных требованиях сканеры уязвимости периодически называются средствами анализа и контроля защищенности информации.

Основные функции сканеров уязвимости:

Системы мониторинга и управления событиями безопасности строятся на базе SIEM-систем. Аббревиатура SIEM образована от security information and event management, что дословно можно перевести как система управления событиями и информационной безопасностью. SIEM обеспечивает анализ в реальном времени событий, происходящих в ИТ-инфраструктуре. Подобный анализ необходим для обнаружения и определения среди всех событий событий информационной безопасности и реагирования на них.

SIEM системы, вне зависимости от производителя, обладают следующим функционалом:

Источниками данных для SIEM систем являются:

Антивирусная программа (антивирус) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Выделяет следующие виды средств антивирусной защиты:

Системы предотвращения утечек информации (Data Leak Prevention, DLP) — технические устройства (программные или программно-аппаратные), которые строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Средства криптографической защиты информации (СКЗИ) – аппаратные, программные и аппаратно–программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.

Выделяют следующие виды СКЗИ:

Средства унифицированного управления угрозами (Unified threat management — UTM) — универсальное устройство, решение в сфере компьютерной безопасности, обеспечивающее мощную комплексную защиту от сетевых угроз. UTM — модификация обыкновенного файервола, продукт «все включено», объединяющий в себе множество функций, связанных с обеспечением сетевой связанной и безопасности, например: система обнаружения и предотвращения вторжений, межсетевой экран, VPN, антивирус, средства анализа и инспектирования сетевого трафика.

Обязателен ли ежегодный контроль аттестованного объекта информатизации?

В соответствии с пунктом 8.3. ГОСТ РО 0043-003-2012 для автоматизированных систем, являющихся государственными, – обязателен, так как аттестация для них является обязательной.

Для иных автоматизированных систем, для которых аттестация была проведена добровольно, периодичность ежегодного контроля устанавливает заявитель (заказчик). Но ежегодный контроль должен проводиться, так как отсутствие подтверждения защищенности обрабатываемой на аттестованном объекте информации является основанием для аннулирования аттестата соответствия.

Ответственность за аттестованный объект информатизации

Ответственность за аттестованный объект обоюдно несут два субъекта:

Также никто не гарантирует, что в процессе эксплуатации объекта не возникнут новые угрозы безопасности для объекта и уязвимости объекта. Поэтому лицензиат ФСТЭК должен периодически (минимум ежегодно) и по потребности (в случае появления угроз и уязвимостей) проводить повторный контроль защищенности объекта с целью подтверждения защищенности.

3) Лицензия ФСТЭК ТЗИ ГТ

Эта лицензия необходима тем, кто оказывает услуги по защите информации, составляющей государственную тайну.
По факту это такая же лицензия, как ФСТЭК ТЗКИ (относительно видов деятельности), только в области защиты государственной тайны.

Соответственно, все те же самые виды деятельности являются лицензируемыми:

О стоимости данной лицензии читайте ниже.

Лицензия ФСТЭК на ТЗИ ГТ получается в соответствии с постановлением Правительства 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны».

Какие НПА требуют использования сертифицированных решений в составе системы защиты?

Определившись со списком применимых к выбранной нами типовой организации документов, переходим к следующему шагу, непосредственно к поиску в этих самых НПА заветного требования.

Начнем с наиболее востребованного в последнее время документа – ГОСТ Р 57580.1. Как вы наверняка знаете, сами по себе ГОСТ являются рекомендательными документами, которые могут переходить в разряд обязательных, если это предусмотрено каким-либо НПА. Положения 672-П, 683-П, Приказ Минкомсвязи 321, применимые к нашему Банку, устанавливают необходимость выполнять требования ГОСТ Р 57580.1. Итак, подробно изучив документ, можно сделать следующие выводы:

Итак, с СКЗИ все достаточно просто, в то время как момент использования (или неиспользования) сертифицированных СЗИ оставляет некую недосказанность – как организации понять, что для закрытия актуальных угроз ей необходимо использовать именно сертифицированные решения?

По логике документа ответ на этот вопрос организация должна получить при разработке модели угроз и нарушителя безопасности информации. Если организация по итогам рассмотрения результатов моделирования угроз пришла к выводу, что гарантированно защититься от них возможно только с использованием сертифицированных решений, то обойтись СЗИ без сертификата не получится. Так, например, если принято решение о необходимости защиты от угрозы, связанной с наличием недекларированных возможностей в используемом на объектах инфраструктуры системном программном обеспечении, то правильным выбором будет использование сертифицированных по требованиям безопасности операционных систем. Как правило, для большинства организаций этот вопрос будет решаться однотипно – все актуальные угрозы без особых проблем будут закрываться без использования сертифицированных решений.

Читать также:  Лента уплотнительная самоклеящаяся Knauf Dichtungsband 50 мм 30 м

Исключение, пожалуй, составят организации, которым использование сертифицированных решений необходимо в соответствии с какими-либо иными НПА или организации, которые рассматривают в качестве источников угроз нарушителей с высоким потенциалом: администраторы ИБ, разведывательные службы государств.

Примерно такого же подхода придерживается и ДИБ ЦБ РФ – ниже представлена выдержка из ответов на вопросы о выполнении ГОСТ, которые мы направляли ранее.

На какой срок выдается сертификат фстэк на средства защиты конфиденциальной информации

Таким образом, можно сделать вывод, что рассматриваемый ГОСТ не требует обязательного использования сертифицированных СЗИ. Этот вывод будет распространяться и на выбранную нами в качестве примера типовую организацию.

Дальше по списку идет несколько Положений ЦБ РФ, давайте рассмотрим и их. Начнем с Положения ЦБ РФ 672-П. Требования документа распространяются на все кредитные организации, являющиеся участниками платежной системы Банка России, имеющими доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде. Предполагаем, что наш Банк относится к данному типу организаций. Поэтому приступаем к изучению документа:

Здесь стоит отметить отдельно сказать о том, что «процедура оценки соответствия» не равна понятию «сертифицированный». 184-ФЗ «О техническом регулировании» устанавливает несколько разных способов оценки соответствия, среди которых есть как сертификационные испытания, так и, например, приемочные.

Далее рассмотрим основные аспекты Положения ЦБ РФ 683-П, требования которого распространяются на все кредитные организации, в том числе и на наш Банк. Итак:

Здесь же заострим внимание на последнем пункте в списке. Он касается непосредственно сертификации используемого программного обеспечения или же проведения анализа уязвимостей такого программного обеспечения. И если тему с сертификацией СЗИ мы затронули в данной статье, то процесс анализа уязвимостей по ОУД – самостоятельная, требующая отдельного освещения тема. И, конечно же, мы планируем рассмотреть ее будущем, если вам эта тема кажется интересной.

Наконец, Положение ЦБ РФ 382-П. Его выполнение обязательно для ряда кредитных организаций, в том числе и для Банка, так как он является оператором по переводу денежных средств. Данный документ:

Здесь также хотелось бы обратить внимание на последний, четвертый, пункт списка. Эксплуатационная документация порой таит в себе собственные, ничуть не менее строгие к обеспечению защиты информации. Так, например, незаменимая СКАД «Сигнатура», при определенной схеме ее использования, требует применения сертифицированного по требованиям безопасности межсетевого экрана.

Подводя промежуточный итог, можно сделать вывод, что для рассматриваемого нами примера использование сертифицированных СЗИ и СКЗИ не требуется рассмотренными положениями ЦБ РФ. Исключения составляют только СКЗИ российского производства.

Перейдем к НПА, регламентирующим вопросы защиты биометрических ПДн. Данные требования применимы к нашему примеру, поскольку он подключен к Единой биометрической системе и использует биометрические персональные данные для идентификации клиентов. Итак:

Таким образом, ни Приказ Минкомсвязи № 321, ни методический документ ЦБ РФ № 4-МР не устанавливают требования об обязательном использовании сертифицированных СЗИ и СКЗИ для нашего Банка.

Далее разберем требования законодательства в области защиты персональных данных. Документы данной области применимы к нашему примеру по причине обработки им персональных данных различных категорий субъектов: собственных работников, соискателей, клиентов и так далее. Основные аспекты этих документов заключаются в следующем:

Обязательное для нашего Банка требование по использованию сертифицированных СЗИ отсутствует, сертифицированных СКЗИ – только в случае принятия соответствующего решения, то есть при наличии актуальных угроз безопасности, которые могут быть закрыты только с использованием криптографии.

Теперь проанализируем требования, касающиеся защиты критической информационной инфраструктуры. С учетом того, что Банку принадлежат информационные системы, функционирующие в банковской сфере, в частности АБС, он является субъектом КИИ. Предположим, что категорирование объектов КИИ еще не проведено, в связи с чем требования по обеспечению безопасности значимых объектов КИИ потенциально могут быть применимы к Банку. Вопрос использования сертифицированных СЗИ регламентирован Приказом ФСТЭК № 239, а именно:

Таким образом, законодательство в области обеспечения безопасности критической информационной инфраструктуры не содержит требования об обязательном использовании сертифицированных СЗИ, в том числе и в отношении нашего Банка.

Говоря о КИИ трудно не упомянуть и Государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак. В соответствии с НПА, регулирующими ее функционирование, если организация использует средства ГосСОПКА (которые по своей сути являются СЗИ), то они должны иметь гарантийную и техническую поддержку российских организаций, а также возможность модернизации российскими организациями. Помимо этого, применяемые организацией СКЗИ должны иметь сертификаты ФСБ России. То есть если организация, например, решила стать корпоративным центром ГосСОПКА, то сертифицированные СКЗИ – то, без чего ей не обойтись.

Таким образом, СТО БР ИББС устанавливает требования об использовании сертифицированных СКЗИ, а также в ряде случаев сертифицированных СЗИ для защиты банковской информационной инфраструктуры.

Несколько слов о сертификации СЗИ

По своей сути сертификация – это одна из возможных форм подтверждения соответствия технического средства защиты определенным требованиям по безопасности. Такие требования определятся в специальных документах, разрабатываемых ФСТЭК, ФСБ России, а также в технических условиях и технических заданиях по безопасности. Таким образом, антивирус, имеющий сертификат соответствия по какому-либо документу, гарантированно соответствует всем требованиям, описанным в нем.

Для владельцев систем использование сертифицированных СЗИ, как правило, позволяет упростить процессы выполнения и требований регулятора в части построения систем защиты и проведения ее испытаний, в том числе и аттестационных. Обратной стороной является ограниченный (не в плане количества наименований, но в плане возможности их применения) рынок готовых сертифицированных решений, их стоимость, а иногда и просто желание владельца системы – редко кому захочется переделывать эффективно функционирующую систему защиты только по причине отсутствия в ней сертифицированных СЗИ.

Все это приводит к необходимости понимая владельцем системы, в каких случаях регулятор требует использования сертифицированных СЗИ, когда настоятельно рекомендует это делать, а когда делегирует решение этого вопроса непосредственно на самого владельца информационной системы.

4) Лицензия ФСТЭК СЗИ ГТ

Данная лицензия необходима тем компаниям, которые осуществляют разработку и(или) производство программного обеспечения или средств защиты информации, предназначенных для обработки и(или) защиты государственной тайны (секретной информации).

Эта лицензия по лицензионным видам работ точно такая же, как лицензия ФСТЭК СЗКИ:

Лицензия ФСТЭК на СЗИ ГТ получается в соответствии с постановлением Правительства 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *