Система сертификации средств защиты информации в Российской Федерации и её применение

  ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«ЛИПЕЦКИЙ ГОСУДАРСТВЕННЫЙ ПЕДАГОГИЧЕСКИЙ УНИВЕРСИТЕТ» 
 

ФАКУЛЬТЕТ ФИЗИКО-МАТЕМАТИЧЕСКИХ И КОМПЬЮТЕРНЫХ НАУК  
 
 
 
 
 

 КУРСОВАЯ  РАБОТА

по дисциплине «Теория информационной безопасности и методология защиты информации»

специальность  «Организация и технология защиты информации»

Тема: Система сертификации средств защиты информации                                в Российской Федерации и её применение.  
 
 
 
 

  

              Выполнила:

              студентка группы ЗИ-3

              очного  отделения

              ИВАНОВА Алина Петровна 

              преподаватель:

                                                    МАЛЫШ Владимир  Николаевич 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Липецк 2010

Оглавление 

    Введение……………………………………………………………………..3

    ГЛАВА I. ПРАВОВАЯ СИСТЕМА СЕРТИФИКАЦИИ                                                         ЗАШИТЫ ИНФОРМАЦИИ............................................................................6            

    1.1. Законодательство  Российской Федерации об информации,  информационных технологиях и о защите информации……………...8

    1.2.Указы правовой  системы сертификации защиты  информации…....... 14                                                                                                                                    

    1.3. Постановление РФ правовой системы                                            

    сертификации  защиты информации………………………………………..18                                                                                                                                     

    1.4.Руководящие документы ФСТЭК России……………………………..21

    1.5. Документы  по созданию автоматизированных  систем и                             систем защиты информации…………………………………………….25

    ГЛАВА II . ОБЪЕКТ СЕРТИФИКАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ…………….28

    2.1. Типовые требования к содержанию и порядку разработки                руководства по защите информации  от технических разведок                                                       и её утечки по техническим каналам.......................................................28                                                                  

    2.2. Основное содержание Руководства по защите информации………..29

    2.3. Порядок разработки, согласования и утверждения

         руководства по защите информации…………………………………...33

    2.4. Государственная система защиты информации………………….......34

    2.5. Методы и способы защиты информации                                                              в информационных системах персональных данных…………………35

    ГЛАВА III. ПОРЯДОК ПОЛУЧЕНИЯ И ЛИЦЕНЗИИСЕРТИФИКАЦИИ                       ЗАЩИТЫ ИНФОРМАЦИИ…………………………………………………37

    3.1. Аттестация  в области защиты информации…………………………..37

3.2. Система аттестации объектов информатизации по

    требованиям безопасности информации…………………………………..39

    3.3. Подготовки к аттестации из следующего                                               основного перечня работ………………………………………………..40

    3.4. Лицензирование в области защиты информации…………………….41

    3.5. Условия и порядок получения лицензии ФСТЭК, СКЗИ....................44

    3.6. Порядок получения лицензии ФСТЭК на право                                   технической защиты конфиденциальной информации………………..45

    3.7. Лицензирование деятельности по разработке и производству                 средств технической защиты информации СКЗИ……………………...46

    3.8. Обязанности предприятий, действующих                                                          на основании лицензии ФСТЭК………………………………………....47

    3.9. Сертификация в области защиты информации………………………..47

           Заключение………………………………………………………………55

           Библиография……………………………………………………………57 
     
     
     
     

Введение 

   Информационная  безопасность Российской Федерации (РФ) является одной из составляющих национальной безопасности Российской Федерациии оказывает влияние на защищенность национальных интересов РФ в различных сферах жизнедеятельности общества и государства.       В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности РФ.

    К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ. Наиболее важными направлениями этой деятельности. внесение изменений и дополнений в законодательство РФ, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности РФ, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов РФ, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности РФ.

    Законодательное разграничение полномочий в области обеспечения информационной безопасности РФ между федеральными органами государственной власти и органами государственной власти, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;

    разработка  и принятие нормативных правовых актов, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну.                                                                                                     

    Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.

    Лицензирование  деятельности в области  защиты информации - важнейшая составляющая государственной системы защиты информации. Конфиденциальные сведения должны обрабатываться при использовании сертифицированных программных средств защиты. Для того чтобы проверить, насколько эффективно защищается конфиденциальная информация, проводится аттестация средств, используемых для ее хранения и обработки.

    Объектом  исследования являются все средства, применяемые для защиты информации, учитываются условия и характер эксплуатации объектов. Аттестация необходима для того, чтобы составить независимое  заключение о достигнутом в организации  уровне защищенности информационных систем. Самым эффективным способам проверки соответствия информационных средств защиты действующим нормативам является привлечение сотрудников, имеющих лицензию Федеральная Служба по Техническому Экспортному Контролю (ФСТЭК) на проведение данной категории работ.

    сертификация  средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

    совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности; 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

ГЛАВА I. ПРАВОВАЯ СИСТЕМА СЕРТИФИКАЦИИ ЗАШИТЫ ИНФОРМАЦИИ              
 
 
 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 
 

1.1. Законодательство  Российской Федерации  об информации,  информационных технологиях  и о защите информации.

    Государственное регулирование отношений в сфере  защиты информации осуществляется путем  установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

    Федеральными  законами могут быть установлены  ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

  Закон о государственной  тайне.

    Порядок сертификации средств защиты информации. Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

    Организация сертификации средств защиты информации возлагается на федеральный орган  исполнительной власти, уполномоченный в области противодействия техническим  разведкам и технической защиты информации, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области обороны, в соответствии с функциями, возложенными на них законодательством Российской Федерации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством РФ.

    Координация работ по организации сертификации средств защиты информации возлагается на межведомственную комиссию по защите государственной тайны.  

                                                                                                                                                                      
 

Закон Защита персональных данных.

    Подготовка  уведомлений уполномоченных органов  об обработке персональных данных. Аттестация информационной системы персональных данных в соответствии  с указанным классом. Защита персональных данных на финальном этапе создания системы представляет собой аттестацию информационной системы по требованиям защиты информации Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Результат создания комплексной  системы защиты персональных данных. Система защиты персональных данных в организации построена в соответствии с требованиями законодательства;

    Автоматизированная  система защиты персональных данных аттестована на соответствие требованиям  по защите персональных данных;

    Защита  интересов клиентов и партнеров  компании, предоставляющих конфиденциальную информацию, и, как следствие, установка с ними плодотворных и доверительных отношений.

  Закон об экспортном  контроле.

        Экспортный контроль в Российской Федерации осуществляется посредством методов правового регулирования внешнеэкономической деятельности, включающих в себя:

 идентификацию контролируемых товаров и технологий, то есть установление соответствия конкретных сырья, материалов, оборудования, научно-технической информации, работ, услуг, результатов интеллектуальной деятельности, являющихся объектами внешнеэкономических операций, товарам и технологиям, включенным в списки (перечни), указанные в статье 6 настоящего Федерального закона;

разрешительный  порядок осуществления внешнеэкономических  операций с контролируемыми товарами и технологиями, предусматривающий лицензирование или иную форму их государственного регулирования;

таможенный  контроль и таможенное оформление контролируемых товаров и технологий, перемещаемых через таможенную границу Российской Федерации, в соответствии с таможенным законодательством Российской Федерации.

                                                                                                                                        Закон о коммерческой тайне.

    Меры  по охране конфиденциальности информации признаются разумно достаточными, если:

 исключается  доступ к информации, составляющей  коммерческую тайну, любых лиц  без согласия ее обладателя;

обеспечивается  возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.

Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя,

нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

        Охрана конфиденциальности информации в рамках трудовых отношений. В целях охраны конфиденциальности информации работодатель обязан ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты.

    Федеральный закон О военно-техническом сотрудничестве Российской Федерации с иностранными государствами.

    Специально  уполномоченный федеральный орган  исполнительной власти в области  экспортного контроля организует в  соответствии с законодательством  Российской Федерации государственную аккредитацию организаций, создавших внутрифирменные программы экспортного контроля, и выдает им свидетельства о государственной аккредитации.

    Лицензии  или разрешения на осуществление  внешнеэкономических операций с  товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), предусмотренные статьями 19 и 20 настоящего Федерального закона

  Федеральный Закон  о лицензировании отдельных видов деятельности.

    В соответствии с настоящим Федеральным  законом лицензированию подлежат следующие виды деятельности:

предоставление  услуг в области  шифрования информации;

разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств  информационных систем, телекоммуникационных систем.

Деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;

деятельность  по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах.

деятельность  по разработке и (или) производству средств  защиты конфиденциальной информации;

деятельность  по технической защите конфиденциальной информации;

разработка, производство, реализация и приобретение в целях продажи специальных  технических средств, предназначенных  для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.

      Федеральный Закон   «Об электронной цифровой подписи» Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.

    Учредительные документы удостоверяющих центров, выдающих сертификаты ключей подписей для использования в информационных системах общего пользования, подлежат приведению в соответствие с настоящим  Федеральным законом в течение шести месяцев со дня вступления в силу настоящего Федерального закона.

  

                                                                                                                                    

1.2.Указы  правовой системы сертификации защиты информации.                                                                                                                                       

Указ  Президента РФ от 4 декабря 2008 г. № 1726

О внесении изменений  в список товаров и технологий двойного назначения, которые могут быть использованы при создании вооружений и военной техники и в отношении которых осуществляется экспортный контроль.

           В целях защиты национальных  интересов и обеспечения выполнения  международных обязательств Российской Федерации, вытекающих из ее участия в Вассенаарских договоренностях по экспортному контролю за обычными вооружениями, товарами и технологиями двойного назначения.

Указ  Президента Российской Федерации от 27 мая 2007 г. № 665

О мерах по выполнению резолюции совета безопасности ООН 1718 от 14 октября 2006 г.

    Предусматривающей применение ряда ограничений в отношении Корейской Народно-Демократической Республики в связи с проведением ею ядерного испытания, и в соответствии с Федеральным законом от 30 декабря 2006 г. № 281-ФЗ "О специальных экономических мерах".

Указ  Президента РФ от 30 мая 2005 г. Об утверждении  Положения о персональных данных государственного гражданского служащего  РФ его личного  дела.

    Обеспечивает  защиту персональных данных государственных служащих РФ содержащихся в их личных делах, от неправомерного их использования или утраты за счет средств государственных органов в порядке, установленном федеральными законами.

    Определение лиц, уполномоченных на получение обработку, хранение, передачу и любое другое использование персональных данных государственных гражданских служащих Российской Федерации в государственном органе и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных. 
 
 
 

Указа Президента Российской Федерации от 3.04.95 г. N 334 "О мерах  по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также  предоставления услуг  в области шифрования информации".

    Освещая вопросы сертификации следует отметить, что до настоящего времени возникают  вопросы о разграничении функций  между Гостехкомиссией и ФАПСИ в области сертификации средств защиты информации в связи с выходом. В Гостехкомиссию России поступают запросы из министерств и ведомств, других государственных предприятий и организаций о порядке сертификации защищенных технических средств и средств защиты информации, а также лицензирования деятельности в области защиты информации. Использование в Указе «защищенные технические средства хранение, обработку и передачи информации» дает возможность толкования исключительности функций ФАПСИ по отношению к другим органам, имеющим юридическое право на выполнение работ в области защиты информации.

УП  РФ "Вопросы Межведомственной комиссии по защите государственной тайны" от 6 октября 2004 г. № 1286 

    Утвердает структуру Межведомственной комиссии по защите государственной тайны и ее состав по должностям .

    Устанавливает, что решения Межведомственной комиссии по защите государственной тайны, принятые в соответствии с ее полномочиями, обязательны для исполнения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, должностными лицами и гражданами.

УП  РФ "О мерах  по обеспечению информационной безопасности Российской Федерации при  использовании информационно-телекоммуникационных сетей международного информационного  обмена" от 17 марта 2008 г. N 351 

    Устанавливает что подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно - телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к международной компьютерной сети "Интернет" 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

1.3. Постановление РФ правовой системы                                             сертификации защиты информации.                                                                                                                                     

Постановление Правительства РФ от 15 августа 2006 г. N 504 о лицензировании деятельности по технической защите конфиденциальной информации.

    Определяет порядок лицензирования деятельности по разработке и (или) производству средств защиты конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями. Лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляет ФСТЭК, а в части разработки и (или) производства средств защиты конфиденциальной информации, устанавливаемых на объектах Администрации Президента РФ, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации, Федеральная служба безопасности Российской Федерации. О формах документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации .