Изделие предназначено для обеспечения защиты акустической речевой информации от утечки по акустическому и вибрационному каналам, за счет акустоэлектрических преобразований во вспомогательных технических средствах и системах, блокирует применение направленных и лазерных микрофонов.
Сертификаты
Состав комплекса
Наименование
Обозначение
Кол.
1. Система виброакустической защиты «Камертон-5» в составе:
1.9 Размыкатель сигнальных и линий оповещения Р-4С
АДЛБ.667750.001
до 2
1.10 Размыкатель телефонных линий Р-4Т
АДЛБ.667750.002
до 2
1.11 Размыкатель локальной сети Р-8И
АДЛБ.667750.003
1
1.12 Распределительная коробка РК-1
АДЛБ.468921.013
1
1.13 Виброштора ВШ-1
АДЛБ.468921.015
до 2
1.14 Виброштора ВШ-2
АДЛБ.468921.015-02
до 2
Виброшторы
Назначение
Виброшторы предназначены для защиты акустической речевой информации, блокируя применение направленных и лазерных микрофонов. Устанавливаются в выделенных помещениях до 1-ой категории включительно без систем звукоусиления и в выделенных помещениях до 2-й категории включительно, оборудованных системами звукоусиления.
Выпускается в двух исполнениях ВШ-1 и ВШ-2 с максимальной шириной до 1 м и 2-х метров соответственно и наибольшей высотой до 2,3 м.
При защите больших по ширине пролетов возможно использовать несколько виброштор подключаемых последовательно.
Рекомендовано устанавливать виброштору на оконную раму для минимизации возможных каналов перехвата речевой информации.
Патент РФ № 2 682 004
Размыкатели
Полный комплект размыкателей позволяет обеспечить защиту акустической речевой информации от утечки за счет акустоэлектрических преобразований.
P-4C – предназначен для размыкания сигнальных линий и линий оповещения
Р-8И – служит для размыкания локальной вычислительной сети
Р-4Т – универсальный размыкатель цифровых или аналоговых телефонных линий
Источник
Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России
Информационное сообщение ФСТЭК России от 16 октября 2017 г. N 240/24/4772
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
ПО ВОПРОСУ ПРОДЛЕНИЯ СРОКОВ ДЕЙСТВИЯ СЕРТИФИКАТОВ СООТВЕТСТВИЯ НА СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ, ЭКСПЛУАТИРУЕМЫЕ НА ОБЪЕКТАХ ИНФОРМАТИЗАЦИИ
от 16 октября 2017 г. N 240/24/4772
В целях обеспечения возможности эксплуатации сертифицированных средств защиты информации от утечки по техническим каналам ФСТЭК России продлены сроки действия сертификатов соответствия на следующие средства защиты информации:
устройство защиты телефонных линий «Сигнал-3» (сертификат соответствия N 67, срок действия до 24 января 2021 г.);
устройство защиты телефонных линий «Сигнал-5» (сертификат соответствия N 68, срок действия до 24 января 2021 г.);
генератор шума ГШ-1000М (сертификат соответствия N 337, срок действия до 17 июля 2021 г.);
генератор шума ГШ-К-1000М (сертификат соответствия N 338, срок действия до 17 июля 2021 г.);
генератор шума «Зевс-2» (сертификат соответствия N 646, срок действия до 19 июля 2021 г.);
комплекс акустической и вибрационной защиты «ЗОНА-2» (сертификат соответствия N 674, срок действия до 7 августа 2021 г.);
комплекс виброакустической защиты «Шелест-4К» (сертификат соответствия N 707, срок действия до 28 февраля 2021 г.);
генератор шума по электросети для выделенных помещений и объектов «ЛГШ-220» (сертификат соответствия N 742, срок действия до 12 апреля 2021 г.);
генератор шума «ЛГШ-501» (сертификат соответствия N 753, срок действия до 16 мая 2021 г.);
фильтр помехоподавляющий сетевой ФАЗА 1-10 (сертификат соответствия N 769/1, срок действия до 15 июля 2021 г.);
система виброакустической защиты «ВВ301» (сертификат соответствия N 782, срок действия до 28 ноября 2021 г.);
генератор шума по сети электропитания и линиям заземления «Соната-РС1» (сертификат соответствия N 783, срок действия до 18 сентября 2021 г.);
фильтр сетевой помехоподавляющий «ЛФС-40-1Ф» (сертификат соответствия N 791, срок действия до 29 сентября 2021 г.);
устройство защиты объектов информатизации от утечки по техническим каналам «Соната-Р2» (сертификат соответствия N 1129, срок действия до 16 января 2021 г.);
система постановки виброакустических и акустических помех «Шторм-5» (сертификат соответствия N 1233, срок действия до 16 августа 2021 г.);
система постановки виброакустических и акустических помех «Шторм-7» (сертификат соответствия N 1234, срок действия до 16 августа 2021 г.);
генератор шума «ЛГШ-701» (сертификат соответствия N 1252, срок действия до 5 сентября 2021 г.);
генератор шума «ЛГШ-702» (сертификат соответствия N 1254, срок действия до 5 сентября 2021 г.);
широкополосный генератор радиошума малой мощности «БРИЗ» (сертификат соответствия N 1290, срок действия до 29 ноября 2021 г.);
система постановки виброакустических и акустических помех «Шорох-3» (сертификат соответствия N 1800, срок действия до 10 марта 2021 г.);
маскиратор побочных электромагнитных излучений и наводок «Маис-М1» (сертификат соответствия N 1847, срок действия до 22 мая 2021 г.);
маскиратор побочных электромагнитных излучений и наводок «Маис-М2» (сертификат соответствия N 1848, срок действия до 22 мая 2021 г.);
система виброакустической защиты «Равнина-3» (сертификат соответствия N 1897, срок действия до 21 августа 2021 г.);
система виброакустической защиты «Камертон-3» (сертификат соответствия N 1898, срок действия до 21 августа 2021 г.);
генератор шума «ЛГШ-703» (сертификат соответствия N 1907, срок действия до 11 сентября 2021 г.);
система виброакустической и акустической защиты «Соната-АВ» модель 3Б (сертификат соответствия N 2533/1, срок действия до 9 ноября 2021 г.);
система виброакустической защиты «Муссон» (сертификат соответствия N 2594, срок действия до 19 марта 2021 г.);
система виброакустической защиты «Стена-105» (сертификат соответствия N 2711, срок действия до 10 сентября 2021 г.);
генератор шума по цепям электропитания, заземления и ПЭМИ»ЛГШ-513″ (сертификат соответствия N 2800, срок действия до 27 декабря 2021 г.);
генератор акустического шума «ЛГШ-304» (сертификат соответствия N 2801, срок действия до 29 декабря 2021 г.);
фильтр сетевой помехоподавляющий марки ФП-6 (сертификат соответствия N 3359, срок действия до 11 марта 2021 г.);
фильтр сетевой помехоподавляющий марки ФП-15 (сертификат соответствия N 3383, срок действия до 2 апреля 2021 г.);
фильтр сетевой помехоподавляющий марки ФП-15МА (сертификат соответствия N 3386, срок действия до 9 апреля 2021 г.).
Копии сертификатов соответствия прилагаются.
Эксплуатация указанных средств защиты информации на объектах информатизации разрешается до окончания срока или до принятия решения ФСТЭК России об аннулировании действия сертификатов соответствия при условии проведения контроля их применения.
Источник
Набор медицинских камертонов KaWe (08.24001.001 (33490))
Пробу Ринне лучше проводить с камертоном с частотой колебаний 256 Гц (при этом лучше выявляется легкая кондуктивная тугоухость). Проба Ринне позволяет сравнить воздушную и костную проводимость. Камертон поочередно подносят к наружному слуховому проходу (воздушная проводимость) и прижимают его ножку к основанию сосцевидного отростка (костная проводимость). Отмечают время, когда испытуемый перестает слышать звук; в норме для воздушной проводимости это время в два раза больше, чем для костной. При кондуктивной тугоухости , напротив, длительность восприятия звука для костной проводимости больше. При нейросенсорной тугоухости снижена длительность восприятия звука и для воздушной, и для костной проводимости, но, как и в норме, длительность восприятия для воздушной проводимости больше.
Набор медицинских камертонов KaWe (Германия) 5 шт.
128 Гц (с фиксированными демпферами)
256 Гц (с фиксированными демпферами)
512 Гц (без демпферов)
1024 Гц (без демпферов)
2048 Гц (без демпферов)
Производство: KaWe (Германия)
Проба Ринне Пробу Ринне лучше проводить с камертоном с частотой колебаний 256 Гц (при этом лучше выявляется легкая кондуктивная тугоухость). Проба Ринне позволяет сравнить воздушную и костную проводимость. Камертон поочередно подносят к наружному слуховому проходу (воздушная проводимость) и прижимают его ножку к основанию сосцевидного отростка (костная проводимость). Отмечают время, когда испытуемый перестает слышать звук; в норме для воздушной проводимости это время в два раза больше, чем для костной. При кондуктивной тугоухости , напротив, длительность восприятия звука для костной проводимости больше. При нейросенсорной тугоухости снижена длительность восприятия звука и для воздушной, и для костной проводимости, но, как и в норме, длительность восприятия для воздушной проводимости больше.
Диагностика вибрационной чувствительности. Вибрационную чувствительность диагностируют при помощи медицинского камертона, лучше с помощью – большого камертона, с частотой колебаний 128 Герц. Колебания такого камертона затухают медленно — вибрация ощущается около 10-20 секунд, что позволяет количественно оценить нарушения чувствительности. Медицинский камертон устанавливают на костные выступы: лодыжки, коленную чашечку, верхнюю переднюю подвздошную кость, остистые отростки позвонков, межфаланговые суставы, шиловидный отросток локтевой кости, локтевой отросток, акромион (латеральный конец лопаточной кости). Врач может сравнивать ощущения пациента с собственными на том же участке исследования: оценить разницу во времени, в течение которого пациент и врач ощущают вибрацию, — ориентировочный показатель степени расстройств. Пациенту необходимо разъяснить, что определяют именно ощущение вибрации, а не давление ножки камертона.
Источник
Информационные и аналитические материалы отчеты и обзоры информационного характера о деятельности ФСТЭК России
Аттестация информационных систем по принципу типовых сегментов. Мифы и реальность
Доброго времени суток, Хабр! Сегодня мы хотели бы рассмотреть различные мифы, связанные с аттестацией объектов информатизации (ОИ) по требованиям безопасности информации по принципу типовых сегментов. А также разберемся, как все-таки правильно делать такую аттестацию.
Мифов надо сказать относительно этого циркулирует немало и часто они противоречат друг другу. Например, есть мнение, что по принципу типовых сегментов можно аттестовать все ИСПДн страны (хотя для ИСПДн аттестация не обязательна), а с другой стороны — есть мнение, что аттестовывать информационные системы нужно только по старинке, а все эти ваши «типовые сегменты» от лукавого.
Введение
Аттестация объекта информатизации, пожалуй, один из самых зарегулированных и консервативных этапов построения системы защиты информации.
Консервативность заключается в том, что аттестации подвергается конкретная система с конкретным перечнем технических средств, которые аккуратным образом переписаны в техническом паспорте на объект информатизации и в самом аттестате соответствия. Замена, например, сгоревшего компьютера из состава аттестованной информационной системы может повлечь за собой как минимум длительную переписку с организацией, проводившей аттестацию, а как максимум – дополнительные аттестационные испытания (то есть — затраты).
Это не было большой проблемой, пока аттестации по требованиям безопасности информации подвергались либо отдельно стоящие компьютеры, обрабатывающие защищаемую информацию, либо небольшие выделенные локальные сети.
Но прогресс не стоит на месте. Сейчас для государственных информационных систем 17-м приказом ФСТЭК определена обязательная их аттестация до ввода в эксплуатацию. А государственные информационные системы сегодня это не статичный компьютер или маленькая локалка, а большие динамически изменяемые системы, зачастую регионального или даже федерального масштаба.
Так как же быть в этом случае? Аттестация обязательна, а аттестовывать статичную систему нельзя, так как там чуть ли не каждый день добавляются новые элементы, а старые убираются. На помощь приходят «типовые сегменты».
Это понятие было введено 17-м приказом ФСТЭК и стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения» в 2013 году. К сожалению, ГОСТ носит пометку «дсп», в отличие от приказа ФСТЭК, поэтому стандарт здесь цитировать не получится. Но от этого особо ничего и не потеряется, т. к. в приказе ФСТЭК правила распространения аттестата соответствия на типовые сегменты расписаны гораздо подробнее (раздел 17.3), а в стандарте этому посвящена пара коротких абзацев.
Мифы вокруг аттестации по принципу типовых сегментов
Вокруг типовых сегментов существует множество мифов. Здесь мы разберем те, с которыми сталкивались сами. Если у вас есть примеры похожих мифов или вопросы (вы не уверены – миф это или нет), добро пожаловать в комментарии.
Миф №1. Одним аттестатом по принципу типовых сегментов можно аттестовать все информационные системы в РФ
Теоретически напрямую нормативными документами это не запрещено, но на практике сделать это будет невозможно. Один из пунктов 17 приказа ФСТЭК по типовым сегментам гласит, что в типовых сегментах должно обеспечиваться выполнение организационно-распорядительной документации по защите информации. Так вот, большая проблема как раз в разработке такой документации, которая будет учитывать разные техпроцессы обработки информации, разную защищаемую информацию, разные требования регуляторов и т. д. В итоге, документация, разработанная для одной системы, будет неактуальна для другой.
Миф №2. «Типовые сегменты» предусмотрены только для государственных информационных систем
Это не так. Во-первых, сам 17 приказ ФСТЭК позволяет применять его положения при разработке систем защиты информации в любых других информационных системах. Во-вторых, в ГОСТ РО 0043-003-2012 применяется более широкое понятие «объекты информатизации» вместо «государственные информационные системы».
Миф №3. Если нам выдадут аттестат, который можно распространять на типовые сегменты, то мы его можем распространять на что угодно
Это не так, под спойлером полный текст пункта 17.3 приказа ФСТЭК №17 по типовым сегментам, далее мы рассмотрим случаи, когда выданный аттестат распространять нельзя. Здесь нам придется остановиться подробнее.
Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.
В этом случае распространение аттестата соответствия на другие сегменты информационной системы осуществляется при условии их соответствия сегментам информационной системы, прошедшим аттестационные испытания.
Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации, реализованы одинаковые проектные решения по информационной системе и ее системе защиты информации.
Соответствие сегмента, на который распространяется аттестат соответствия, сегменту информационной системы, в отношении которого были проведены аттестационные испытания, подтверждается в ходе приемочных испытаний информационной системы или сегментов информационной системы.
В сегментах информационной системы, на которые распространяется аттестат соответствия, оператором обеспечивается соблюдение эксплуатационной документации на систему защиты информации информационной системы и организационно-распорядительных документов по защите информации.
Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.
Далее мы будем брать конкретные примеры ошибок, и приводить только подходящие цитаты из этого нормативного акта в качестве обоснования, почему так делать нельзя.
Пример №1
Аттестована только серверная часть, но хочется распространить аттестат на автоматизированные рабочие места (АРМ). Можно ли так делать?
Нет! Допускается аттестация информационной системы на основе результатов аттестационных испытаний выделенного набора сегментов информационной системы, реализующих полную технологию обработки информации.
Передача информации по каналам связи это тоже технология обработки. Плюс в данном примере не аттестован ни один АРМ, поэтому распространить аттестат на другой типовой АРМ мы не можем.
Пример №2
Здесь мы учли предыдущую ошибку и включили в аттестат каналы передачи данных и типовое АРМ. Вдруг у нас возникла необходимость организовать большому начальнику ноутбук с подключением в аттестованную систему (по защищенным каналам, конечно же). Можем ли мы распространить аттестат соответствия на этот ноутбук?
Нет! Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности, угрозы безопасности информации…
Здесь для мобильных технических средств появляются новые угрозы безопасности информации, которые не актуальны для стационарных АРМ и скорее всего не учтены в модели угроз на аттестованную систему.
Пример №3
Хорошо, мы учли этот косяк и добавили в модель угроз «на вырост», угрозы для мобильных устройств. Теперь можно распространить аттестат на ноутбук большого босса?
Нет! Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания…
Несмотря на то, что мобильное средство было описано в проектной документации на систему защиты информации и в модели угроз были учтены угрозы, связанные с мобильными техническими средствами, в отношении такого средства не были проведены аттестационные испытания.
Пример №4
Как все сложно-то! А вот такая ситуация: есть лечебное учреждение, там есть две информационные системы – с сотрудниками и медицинская информационная система (МИС) с пациентами. Можем ли мы сэкономить, аттестовать информационную систему с сотрудниками и распространить этот аттестат на МИС?
Нет! Сегмент считается соответствующим сегменту информационной системы, в отношении которого были проведены аттестационные испытания, если для указанных сегментов установлены одинаковые классы защищенности… одинаковые проектные решения по информационной системе.
Хоть и кажется, что тут все сложно, на самом деле нужно просто заранее при подготовке к построению системы защиты продумать возможные варианты типовых сегментов. Но на самом деле, если все учесть (а требований не так уже и много), то и с распространением аттестата проблем не будет.
Миф №4. Типовые сегменты необходимо описывать в проектной документации на систему защиты, начиная с модели угроз
Такого требования нет. Хотя это напрямую и не запрещено, такой подход в будущем может повлечь некоторые проблемы. Что нам говорит об этом 17-й приказ ФСТЭК:
Особенности аттестации информационной системы на основе результатов аттестационных испытаний выделенного набора ее сегментов, а также условия и порядок распространения аттестата соответствия на другие сегменты информационной системы определяются в программе и методиках аттестационных испытаний, заключении и аттестате соответствия.
То есть мы вправе упоминать типовые сегменты только на этапе аттестации. В этом случае ваши сегменты будут типовыми по умолчанию, если выполнены условия раздела 17.3 приказа ФСТЭК №17. Но мы встречали случаи, когда типовые сегменты пытались описать уже на этапе моделирования угроз, чуть ли не указывая серийные номера оборудования таких сегментов. Проблема такого подхода в том, что если произойдет замена оборудования или что-то поменяется в технологиях обработки (например, появится среда виртуализации), то сегменты, на которые аттестат уже распространен могут стать, скажем так, нелегитимно типовыми. И в таком случае может понадобиться проводить не «дополнительные аттестационные испытания», а полностью весь комплекс испытаний проводить по новой.
В общем, наш совет – не упоминать типовые сегменты в проектной документации совсем. Ведь по действующему законодательству типовым будет любой сегмент, удовлетворяющий установленным условиям.
ВАЖНО! Если вы оператор информационной системы и планируете аттестацию информационной системы с возможностью распространять аттестат на типовые сегменты, обязательно обговорите с вашим аттестующим органом, чтобы такая возможность была отражена в аттестационных документах, как этого требует 17 приказ ФСТЭК!
Миф №5. ФСТЭК не понимает «типовые сегменты» и если мы так аттестуемся, нас накажут
Такой миф звучит очень странно, учитывая, что типовые сегменты подробнее всего описаны в нормативной документации именно от ФСТЭК. Эту мысль чаще всего можно услышать от безопасников так называемой «старой школы».
В общем, кроме как «это не правда» нам здесь сказать нечего. Даже наоборот – регулятор всячески продвигает такой порядок аттестации информационных систем и совсем недавно мы даже столкнулись с претензией от ФСТЭК, что огромная информационная система регионального масштаба аттестовывалась НЕ по принципу типовых сегментов. Там пришлось объяснять, что в том конкретном случае это было не оптимально.
Миф №6. Типовые сегменты работают только когда аттестованная часть и сегменты являются собственностью одной организации
Это неправда. Прямо об этом в законодательстве не говорится, а все что не запрещено, то разрешено. Но, конечно же, определенные отличия, когда аттестованная часть и типовые сегменты собственность одной организации, и когда типовые сегменты принадлежат сторонним юридическим лицам, есть.
В случаях, когда все принадлежит одной организации, эта организация может самостоятельно провести мероприятия по защите информации на типовом сегменте, назначить комиссию и распространить аттестат на типовой сегмент.
В случаях, когда есть центральный оператор государственной информационной системы (например, региональный Информационно-технологический центр) и сегменты у других юридических лиц (как пример – региональная система документооборота государственных учреждений), то тут все немного сложнее. Сложность заключается в том, что по закону за защиту информации в государственных информационных системах отвечает оператор этих ГИС. Поэтому для того, чтобы очередная проверка не нагрела оператора за то, что где-то в школе за 400 км от регионального центра не выполняются мероприятия по защите информации, ему необходимо хотя бы на этапе подключения типового сегмента максимально задокументировать этот процесс. В первую очередь создается регламент подключения к информационной системе, где оператор четко и ясно описывает требования по защите информации, которые нужно выполнить на подключаемом сегменте. Сюда входит обычно назначение ответственных, утверждение внутренних документов по защите информации (особо замороченные операторы могут даже разработать и предоставлять типовой комплект), закупка, установка и настройка необходимых средств защиты информации, анализ уязвимостей и т. д. Далее, организация, желающая подключиться, выполняет все требования и оговоренным в регламенте образом подтверждает это.
С другой стороны все описанные сложности это примерный план действий, который уже мы изобретали совместно с одним из таких операторов. Если оператор распределенной ГИС не боится нести ответственность за то, что не докажет факт исполнения требований по защите информации на удаленном сегменте хотя бы на этапе подключения, то он может пойти и по упрощенному пути (насколько «упрощенному» так же решать этому оператору).
К сожалению, некоторые операторы так и делают, потому что искренне верят в следующий миф.
Миф №7. За распространение аттестата на сегменты, не соответствующие требованиям несет ответственность аттестующий орган
Нам, как аттестующему органу, очень важно понимать границы нашей ответственности. Поскольку четко на вопрос «кто несет ответственность за распространение аттестата на несоответствующие требованиям сегменты» закон не отвечает, мы написали письмо во ФСТЭК.
ФСТЭК ответил, что аттестующий орган несет ответственность только за качество непосредственно аттестационных испытаний. За корректность распространения аттестата на типовые сегменты несет ответственность организация-оператор информационной системы.
Миф №8. Типовые сегменты нам ничего не дадут. Все равно придется привлекать лицензиата и платить ему деньги
Это не так. Как минимум в случаях, когда в штате оператора информационной системы есть специалисты, способные провести все, описанные выше, мероприятия.
С другой стороны, мы часто сталкиваемся с тем, что нас просят помочь и с подключением типовых сегментов. Все равно в таких сегментах как минимум нужно проработать внутреннюю документацию, установить и правильно настроить средства защиты информации. Плюс, многие операторы информационных систем больше доверяют заключениям о соответствии типового сегмента, написанного сторонней организацией, чем отчету самого заявителя на подключение к системе.
Но даже в этом случае типовые сегменты позволяют оператору сэкономить деньги, так как на присоединяемые элементы как минимум не нужно разрабатывать отдельную модель угроз и проектную документацию на систему защиты информации. Также нет необходимости проводить полноценные аттестационные испытания.
Миф №9. В типовых сегментах должны использоваться только одинаковые технические средства (например, компьютеры с одинаковой материнской платой, одинаковым процессором, одинаковой оперативной памятью, вплоть до типа, производителя и модели)
Этот вопрос тоже явно не прописан в законодательстве. На интуитивном уровне понятно, что полное соответствия железа аттестованного и подключаемого сегмента не требуется, иначе всей этой затее грош цена. А когда нам нужно уточнить подобный вопрос, что мы делаем? Правильно – пишем письмо регулятору. ФСТЭК ожидаемо ответил, что в типовых сегментах не должны использоваться одинаковые (один производитель, одна модель и т. д.) технические решения.
Для того чтобы сегмент считался соответствующим аттестованному, нужно, чтобы для него был установлен такой же класс защищенности, определены такие же угрозы безопасности информации и реализованы одинаковые проектные решения по самой системе и по системе защиты информации. Как собственно и написано в 17 приказе.
Миф №10. Для каждого присоединяемого типового сегмента нужно делать свою модель угроз
Нет. В типовом сегменте должны быть актуальны такие же угрозы, как и в аттестованной части информационной системы. Соответственно – модель угроз одна на всю систему. Если в аттестованной информационной системе происходят какие-либо значительные технологические изменения, которые могут повлечь появление новых угроз безопасности информации, необходимо пересматривать общую модель угроз и, при необходимости, проводить дополнительные аттестационные испытания системы в целом.
Миф №11. Данные присоединяемых типовых сегментов не нужно отражать в техническом паспорте на информационную систему
По этому вопросу мы также спросили ФСТЭК. Ответ такой — данные новых сегментов нужно вносить в технический паспорт. Но вносить ли новые данные в общий техпаспорт на систему или сделать отдельный документ для сегмента – решать оператору. На наш взгляд на типовой сегмент удобнее делать отдельный технический паспорт.
На этом все. Если у вас остались вопросы по теме – добро пожаловать в комментарии. Надеемся, что наша публикация будет полезна и облегчит жизнь операторам аттестованных информационных систем.
Источник
Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России
Информационное сообщение ФСТЭК России от 29 апреля 2021 г. N 240/24/2087
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
В соответствии с подпунктом 13.3 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, приказом ФСТЭК России от 28 сентября 2020 г. N 110 утвержден Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, содержащей сведения, составляющие государственную тайну (далее — Порядок аттестации).
Порядок аттестации предназначен для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, предприятий, учреждений, организаций, которым на праве собственности или ином законном основании принадлежат объекты информатизации, а также для организаций, выполняющих работы по аттестации объектов информатизации на основании лицензии на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации с правом проведения мероприятий и (или) оказания услуг по аттестации объектов информатизации на соответствие требованиям о защите информации), выданной ФСТЭК России.
Указанный документ определяет состав и содержание работ по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, а также требования к форме разрабатываемых при проведении таких работ документов и применяется с 1 июня 2021 г.
В связи с вступлением в силу Порядка аттестации с 1 июня 2021 г. при организации и проведении работ по аттестации объектов информатизации, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну, не применяются следующие документы:
Положение по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 25 ноября 1994 г.;
Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 5 января 1996 г. N 3;
ГОСТ Р 58189-2018 Защита информации. Требования к органам по аттестации объектов информатизации;
ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения.
Порядком аттестации установленно, что аттестационные испытания объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, проводятся организациями, имеющими лицензию ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации с правом проведения мероприятий и (или) оказания услуг по аттестации объектов информатизации на соответствие требованиям о защите информации). Наличие аттестата аккредитации органа по аттестации для проведения указанных работ с 1 июня 2021 г. не требуется. Аккредитация органов по аттестации ФСТЭК России проводиться не будет. Перечень организаций, имеющих право выполнять работы по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, будет размещен на официальном сайте ФСТЭК России.
С целью организации контроля за выполнением работ по аттестации объектов информатизации Порядком аттестации предусмотренно ведение ФСТЭК России единого реестра аттестованных объектов информатизации, а также представление организациями, проводившими аттестацию, материалов с результатами аттестационных испытаний каждого объекта информатизации в территориальные органы ФСТЭК России. В случае установления по результатам экспертизы указанных материалов факта несоответствия аттестованного объекта информатизации требованиям о защите информации действие аттестата соответствия будет приостановлено до устранения выявленного несоответствия объекта информатизации установленным требованиям.
Источник
Аттестация объектов информатизации
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – "Аттестата соответствия" подтвеpждается, что объект соответствует тpебованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Положение по аттестации объектов информатизации по требованиям безопасности информации).
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
Обязательной аттестации подлежат:
Объекты информатизации, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну
Объекты информатизации, предназначенные для обработки информации конфиденциального характера, являющейся государственным информационным ресурсом
Государственные информационные системы
Аттестация проводится в соответствии со схемой, выбираемой на этапе подготовки к аттестации из следующего основного перечня работ:
анализ исходных данных по аттестуемому объекту информатизации;
предварительное ознакомление с аттестуемым объектом информатизации;
проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.
Аттестация проводится органом по аттестации (при обработке информации, содержащей сведения, составляющие государственную тайну) или организацией, имеющей право на деятельность в области технической защиты конфиденциальной информации (при обработке информации конфиденциального характера и аттестации государственных информационных систем)
Источник
Порядок проведения аттестации информационной системы
Положение по аттестации объектов информатизации по требованиям безопасности информации
1. Общие положения
1.1. Настоящее Положение устанавливает основные принципы, организационную структуру системы аттестации объектов инфоpматизации по требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации.
1.2. Положение разработано в соответствии с законами Российской Федерации "О сертификации продукции и услуг" и "О государственной тайне", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", "Положением о государственном лицензировании деятельности в области защиты информации", "Положением о сертификации средств защиты информации по требованиям безопасности информации", "Системой сертификации ГОСТ Р".
1.3. Система аттестации объектов информатизации по требованиям безопасности информации (далее — система аттестации) является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее — федеральный орган по сертификации и аттестации), которым является Гостехкомиссия России.
1.4. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа — "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.
Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в "Аттестате соответствия".
1.5. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
1.6. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
1.7. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
1.8. Аттестация проводится органом по аттестации в установленном настоящим Положением порядке в соответствии со схемой, выбираемой этим органом на этапе подготовки к аттестации из следующего основного перечня работ:
— анализ исходных данных по аттестуемому объекту информатизации;
— предварительное ознакомление с аттестуемым объектом информатизации;
— проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
— проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
— проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
— проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
— анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.
1.9. Органы по аттестации аккредитуются Гостехкомиссией России. Правила аккредитации определяются действующим в системе "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".
Гостехкомиссия России может передавать права на аккредитацию отраслевых (ведомственных) органов по аттестации другим органам государственной власти.
1.10. Расходы по проведению всех видов работ и услуг по обязательной и добровольной аттестации объектов информатизации оплачивают заявители.
Оплата работ по обязательной аттестации производится в соответствии с договором по утвержденным расценкам, а при их отсутствии — по договорной цене в порядке, установленном Гостехкомиссией России по согласованию с Министерством финансов Российской Федерации.
Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители за счет финансовых средств, выделенных на разработку (доработку) и введение в действие защищаемого объекта инфоpматизации.
1.11. Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.
2. Организационная структура системы аттестации объектов информатизации по требованиям безопасности информации
2.1. Организационную структуру системы аттестации объектов информатизации образуют:
— федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации — Гостехкомиссия России;
— органы по аттестации объектов информатизации по требованиям безопасности информации;
— испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;
— заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).
2.2. Федеральный орган по сертификации и аттестации осуществляет следующие функции:
— организует обязательную аттестацию объектов информатизации;
— создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;
— устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;
— организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;
— аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;
— осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;
— рассматривает апелляции, возникающие в процессе аттестации объектов информатизации, и контроля за эксплуатацией аттестованных объектов информатизации;
— организует периодическую публикацию информации по функционированию системы аттестации объектов информатизации по требованиям безопасности информации.
2.3. Органы по аттестации объектов информатизации аккредитуются Гостехкомиссией России и получают от нее лицензию на право проведения аттестации объектов информатизации.
Такими органами могут быть отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры Гостехкомиссии России.
2.4. Органы по аттестации:
— аттестуют объекты информатизации и выдают "Аттестаты соответствия";
— осуществляют контроль за безопасностью информации, циркулирующей на аттестованных объектах информатизации, и за их эксплуатацией;
— отменяют и приостанавливают действие выданных этим органом "Аттестатов соответствия";
— формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;
— ведут информационную базу аттестованных этим органом объектов информатизации;
— осуществляют взаимодействие с Гостехкомиссией России и ежеквартально информируют его о своей деятельности в области аттестации.
2.5. Испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации по заказам заявителей проводят испытания несеpтифициpованной продукции, используемой на объекте информатики, подлежащем обязательной аттестации, в соответствии с "Положением о сертификации средств защиты информации по требованиям безопасности информации".
— проводят подготовку объекта информатизации для аттестации путем реализации необходимых организационно-технических мероприятий по защите информации;
— привлекают органы по аттестации для организации и проведения аттестации объекта информатизации;
— предоставляют органам по аттестации необходимые документы и условия для проведения аттестации;
— привлекают, в необходимых случаях, для проведения испытаний несеpтифициpованных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;
— осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в "Аттестате соответствия";
— извещают орган по аттестации, выдавший "Аттестат соответствия", о всех изменениях в информационных технологиях, составе и размещении средств и систем информатики, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в "Аттестате соответствия");
— предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.
3. Порядок проведения аттестации и контроля
3.1. Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:
— подачу и рассмотрение заявки на аттестацию;
— предварительное ознакомление с аттестуемым объектом;
— испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
— разработка программы и методики аттестационных испытаний;
— заключение договоров на аттестацию;
— проведение аттестационных испытаний объекта информатизации;
— оформление, регистрация и выдача "Аттестата соответствия";
— осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
3.2. Подача и рассмотрение заявки на аттестацию.
3.2.1. Заявитель для получения "Аттестата соответствия" заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации по форме, приведенной в приложении 1.
3.2.2. орган по аттестации в месячный срок рассматривает заявку и на основании анализа исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации.
3.3. Предварительное ознакомление с аттестуемым объектом.
При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым объектом, проводимые до этапа аттестационных испытаний.
3.4. Испытания несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте информатизации.
3.4.1. При использовании на аттестуемом объекте информатизации несеpтифициpованных средств и систем защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.
3.4.2. Испытания отдельных несеpтифициpованных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации проводятся до аттестационных испытаний объектов информатизации.
В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты.
3.5. Разработка программы и методики аттестационных испытаний.
3.5.1. По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (или используются типовые методики), определяются количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации.
Источник
Информационные и аналитические материалы отчеты и обзоры информационного характера о деятельности ФСТЭК России
Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России
Информационное сообщение ФСТЭК России от 20 января 2020 г. N 240/24/250
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
О ПРИМЕНЕНИИ СЕРТИФИЦИРОВАННЫХ ОПЕРАЦИОННЫХ MICROSOFT WINDOWS 7 И MICROSOFT WINDOWS SERVER 2008 R2 В СВЯЗИ С ПРЕКРАЩЕНИЕМ ИХ ТЕХНИЧЕСКОЙ ПОДДЕРЖКИ
от 20 января 2020 г. N 240/24/250
Компанией Microsoft Corporation (США) с 14 января 2020 г. прекращена поддержка и выпуск обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, в том числе обновлений, направленных на устранение ошибок и уязвимостей в указанных операционных системах.
В настоящее время в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций продолжают применяться следующие версии сертифицированных по требованиям безопасности информации операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2:
операционная система Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» (сертификат соответствия от 4 октября 2011 г. N 2180/1);
операционная система Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter (сертификат соответствия от 13 октября 2011 г. N 2181/1);
программный комплекс «Microsoft Windows Server 2008 Standard Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1928/1);
программный комплекс «Microsoft Windows Server 2008» версии Standard Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1928);
программный комплекс «Microsoft Windows Server 2008 Enterprise Edition Service Pack 2» (сертификат соответствия от 14 мая 2010 г. N 1929/1);
программный комплекс «Microsoft Windows Server 2008» версии Enterprise Edition в редакции 32-бит/64-бит (сертификат соответствия от 27 октября 2009 г. N 1929);
программный комплекс «Microsoft Windows Server 2008″ версии Datacenter» в редакции 32-бит/64-бит (сертификат соответствия от 29 октября 2009 г. N 1930).
Это обусловлено, в том числе, наличием большого количества разработанного под Microsoft Windows 7 и Microsoft Windows Server 2008 R2 специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.
В соответствии с эксплуатационной документацией на указанные сертифицированные версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенных разработчиком (компанией Microsoft Corporation) и предоставляемых российскими производителями операционных систем (заявителями).
Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционным системам Microsoft Windows 7 и Microsoft Windows Server 2008 R2 со стороны отдельных категорий нарушителей.
В связи с прекращением поддержки и выпуска обновлений для операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55, приказом ФСТЭК России от 20 января 2020 г. N 9 прекращено действие сертификатов соответствия от 4 октября 2011 г. N 2180/1 на операционную систему Microsoft Windows 7 (SP1) в редакциях «Профессиональная», «Корпоративная» и «Максимальная» и от 13 октября 2011 г. N 2181/1 на операционную систему Microsoft Windows Server 2008 R2 (SP1) в редакциях Standard, Enterprise и Datacenter.
Кроме того, ФСТЭК России принято решение об исключении 1 июня 2020 г. из Государственного реестра сертифицированных средств защиты информации сведений о сертификатах NN 2180/1, 2181/1, 1928/1, 1928, 1929/1, 1929, 1930.
Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, рекомендуется:
1. Спланировать мероприятия по переводу до 1 июня 2020 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.
2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:
установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, выпущенные российскими производителями (заявителями);
установить запрет на автоматическое обновление сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
провести настройку и обеспечить периодический контроль механизмов защиты сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2;
при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, функционирующих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP — систем), средств управления потоками информации);
обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, на внешние носители информации;
регламентировать и обеспечить контроль за применением съемных машинных носителей информации, исключив при этом использование незарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;
проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционных систем Microsoft Windows 7 и Microsoft Windows Server 2008 R2, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;
применить дополнительные сертифицированные средства защиты информации, реализующие (дублирующие) функции по безопасности информации операционных систем;
проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);
разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционных системах Microsoft Windows 7 и Microsoft Windows Server 2008 R2 или возникновения инцидентов информационной безопасности, связанных с их применением.
Источник
Сертификация фстэк для windows
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Информационное сообщение Федеральной службы по техническому и экспортному контролю от 7 апреля 2014 г. № 240/24/1208 “О применении сертифицированной по требованиям безопасности информации операционной системы Windows XP в условиях прекращения ее поддержки разработчиком”
По информации, полученной от ООО «Майкрософт Рус», компанией Microsoft (США) с 8 апреля 2014 г. прекращается поддержка и выпуск обновлений операционной системы Windows XP, в том числе направленных на устранение ошибок и уязвимостей в указанной операционной системе.
В настоящее время в системе сертификации ФСТЭК России сертифицированы по требованиям безопасности информации следующие версии операционной системы Windows XP:
Microsoft Windows XP Professional (SP2) (сертификат соответствия № 844/2 от 3 декабря 2004 г., срок действия — до 3 декабря 2016 г.);
Microsoft Windows XP Professional Service Pack 3 (сертификат соответствия № 844/3 от 3 декабря 2008 г., срок действия — до 3 декабря 2014 г.);
Microsoft Windows XP Service Pack 2 (OEM CD Kraftway) (сертификат соответствия № 1019/2 от 5 августа 2008 г., срок действия — до 5 августа 2014 г.);
Microsoft Windows XP Professional OEM ver. (SP2) (сертификат соответствия № 1636 от 4 июля 2008 г., срок действия — до 4 июля 2014 г.).
При этом в соответствии с эксплуатационной документацией на указанные сертифицированные версии операционной системы Windows XP обязательным условием их применения в информационных системах является установка сертифицированных обновлений операционных систем Windows XP, выпущенных разработчиком (компанией Microsoft) и предоставляемых российскими производителями операционной системы (заявителями).
В настоящее время значительная часть сертифицированных версий операционной системы Windows XP продолжает применяться для защиты информации конфиденциального характера (в том числе персональных данных) в информационных системах федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций (далее — органы государственной власти и организации). Это обусловлено, в том числе, наличием большого количества разработанного под Windows XP специфичного прикладного программного обеспечения, применяемого для реализации органами государственной власти и организациями своих полномочий.
Необходимо отметить, что прекращение выпуска обновлений сертифицированных версий операционной системы Windows XP в сочетании с вероятным обнаружением в них новых уязвимостей приведет к возможности реализации угроз безопасности информации конфиденциального характера, обрабатываемой в указанных информационных системах. Кроме того, прогнозируется повышение интереса к операционной системе Windows XP со стороны отдельных категорий нарушителей.
В целях поэтапного перехода органами государственной власти и организациями на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями, ФСТЭК России планируется продление до декабря 2016 г. (переходный период) сроков действия выданных ранее сертификатов соответствия на операционную систему Windows XP с учетом включения в эксплуатационную документацию ограничений на дальнейшее применение изделий в условиях прекращения выпуска обновлений и возможности реализации угроз безопасности информации.
Аттестация по требованиям защиты информации информационных систем, работающих под управлением операционной системы Windows XP, должна проводиться с учетом ограничений на дальнейшее применение сертифицированных изделий, а также с учетом дополнительных угроз безопасности информации, связанных с окончанием обновления операционной системы Windows XP, и реализации дополнительных мер защиты информации, направленных на блокирование данных угроз. Для информационных систем, работающих под управлением операционной системы Windows XP, аттестованных до 8 апреля 2014 г., повторная аттестация не требуется. Оценка реализованных дополнительных мер защиты информации осуществляется путем проведения дополнительных аттестационных испытаний в рамках действующих аттестатов соответствия.
Учитывая изложенное, органам государственной власти и организациям, использующим для защиты информации сертифицированные ФСТЭК России версии операционной системы Windows XP, рекомендуется:
1. Спланировать мероприятия по переводу до декабря 2016 г. информационных систем на сертифицированные по требованиям безопасности информации операционные системы, поддерживаемые их производителями.
2. До перехода на сертифицированные по требованиям безопасности информации операционные системы с учетом моделей угроз безопасности информации принять следующие дополнительные меры защиты информации, направленные на минимизацию рисков реализации угроз безопасности информации:
установить все актуальные обязательные сертифицированные обновления сертифицированных версий операционной системы Windows XP, выпущенные российскими производителями (заявителями);
установить запрет на автоматическое обновление сертифицированных версий операционной системы Windows XP;
провести настройку и обеспечивать периодический контроль механизмов защиты сертифицированных версий операционной системы Windows XP в соответствии с руководствами по безопасной настройке и контролю сертифицированных версий операционной системы Windows XP;
по возможности исключить подключение к сети Интернет и к ведомственным (корпоративным) локальным вычислительным сетям средств вычислительной техники или сегментов информационных систем, работающих под управлением операционной системы Windows XP;
при невозможности отключения от сети Интернет и (или) от ведомственных (корпоративных) локальных вычислительных сетей средств вычислительной техники или сегментов информационных систем, работающих под управлением операционной системы Windows XP, применять в обязательном порядке меры по сегментированию информационных систем и защите периметра информационной системы и выделенных сегментов (в том числе путем применения сертифицированных межсетевых экранов, средств антивирусной защиты, систем обнаружения вторжений, средств защиты от несанкционированной передачи (вывода) информации (DLP — систем), средств управления потоками информации);
обеспечить регулярное резервное копирование информации, программного обеспечения и средств защиты информации, содержащихся на средствах вычислительной техники или в сегментах информационных систем, работающих под управлением операционной системы Windows XP, на внешние носители информации;
регламентировать и обеспечивать контроль за применением съемных машинных носителей информации, исключив при этом использование не зарегистрированных в информационной системе машинных носителей информации и не проверенных средствами антивирусной защиты;
проводить периодический анализ уязвимостей сегментов информационных систем, работающих под управлением операционной системы Windows XP, с использованием сертифицированных средств контроля (анализа) защищенности информации, а также периодический контроль целостности установленных операционных систем;
проводить мониторинг общедоступных источников, публикующих сведения об уязвимостях, на предмет появления в них информации об уязвимостях в операционной системе Windows XP и принимать меры, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителями выявленных уязвимостей (в том числе за счет применения дополнительных средств защиты информации);
разработать и внедрить правила и процедуры действий должностных лиц в случае выявления уязвимостей в операционной системе Windows XP или возникновения инцидентов информационной безопасности, связанных с ее применением.
Заместитель директора ФСТЭК России
А. Куц
Обзор документа
С 8 апреля 2014 г. прекращаются поддержка и выпуск обновлений операционной системы Windows XP. Запланирован переход на другие, сертифицированные по требованиям безопасности информации.
В настоящее время сертифицированы следующие версии указанной системы: Microsoft Windows XP Professional (SP2); Microsoft Windows XP Professional Service Pack 3; Microsoft Windows XP Service Pack 2 (OEM CD Kraftway); Microsoft Windows XP Professional OEM ver. (SP2). Сертификаты на них действуют соответственно до 3 декабря 2016 г., до 3 декабря, 5 августа и 4 июля 2014 г.
При этом обязательным условием их применения является установка сертифицированных обновлений операционных систем Windows XP.
Пока значительная часть версий продолжает применяться для защиты в т. ч. персональных данных. Это обусловлено большим количеством разработанного под Windows XP специфичного прикладного программного обеспечения, применяемого для реализации органами госвласти и организациями своих полномочий. Прекращение выпуска обновлений приведет к угрозе безопасности информации.
В связи с этим до декабря 2016 г. планируется продлить сроки действия сертификатов соответствия на операционную систему Windows XP. При этом в эксплуатационную документацию нужно включить ограничения на дальнейшее применение изделий в условиях прекращения выпуска обновлений и возможности реализации угроз безопасности информации.
С учетом этих же ограничений должна проводиться аттестация систем, работающих под управлением Windows XP (исключения — системы, в отношении которых процедура проведена до 8 апреля 2014 г.).
До перехода на иные системы органам и организациям рекомендовано следующее. Установить актуальные обязательные сертифицированные обновления версий. Не подключать к Интернету оборудование, работающее под управлением Windows XP. Обеспечить регулярное резервное копирование информации, средств ее защиты. Установить запрет на автоматическое обновление версий. Периодически анализировать уязвимость сегментов информационных систем, работающих под управлением Windows XP.
Есть определенный перечень программного обеспечения и технических средств, которые подлежат сертификации средств защиты информации (СЗИ). Без наличия разрешения нельзя заниматься импортом, реализацией и оборотом такой продукции.
Контрольные мероприятия регулируются ПП РФ №608 от 26.06.1995 г., Положением ФСТЭК №55 от 03.04.2018 г.
Помимо оценки безопасности дополнительно может потребоваться проверка в системе ТР ТС (к примеру, если речь идет о техническом средстве, работающем от сети – в этом случае необходимо провести оценку согласно ТР ТС 004/2011).
Если же средство не подлежит контролю качества в системах ТР ТС, то можно провести добровольную проверку соответствия государственным стандартам или другим нормативным документам.
Перечень продукции, подлежащей сертификации ФСТЭК
Федеральная служба по техническому и экспортному контролю предусматривает необходимость оценки качества для средств противодействия иностранным разведкам, устройств для защиты государственной тайны и обеспечения безопасности информационных технологий. Это могут быть отечественные и импортные IT-продукты.
Речь идет о следующих типах продукции:
программные и программно-технические средства защиты информации от нарушения целостности;
программные средства, которые разграничивают доступ к данным, контролируют единство инфо-данных, уничтожают остатки данных на информационных носителях, имитируют работу ОС или блокируют ее при необходимости;
защитные программы, встроенные в ОС;
средства, цель которых предотвратить незаконное копирование данных;
операционные системы;
экраны для межсетевого доступа;
средства доступа к виртуальным локальным сетям;
системы контроля эффективности;
системы, которые используют защищенные методы обработки данных.
Это лишь часть товаров, которые подлежат обязательной проверке в рамках требований ФСТЭК. Точный перечень средств, на которые потребуется получить сертификат СЗИ, уточните у специалистов центра «Рос-Тест».
Схемы сертификации
Пройти оценку можно в соответствии с требованиями, установленными законодательно. Наиболее актуальными для предпринимателей являются такие схемы:
оценка качества единичного оборудования;
проверка партии изделий (в случае, если речь идет об ограниченном тираже копий);
сертификация серийного выпуска.
Какую именно выбрать схему, зависит от типа производства и конкретной ситуации.
Участники системы оценки
Основными звеньями осуществления контроля продукции являются:
федеральный орган (Росаккредитация);
аккредитованные органы (центры), наделенные специальными полномочиями;
испытательные лаборатории;
изготовители (поставщики) товара.
Право на проведение проверки СЗИ имеют только аккредитованные органы. Аккредитация выдается при наличии у них лицензии на соответствующие виды деятельности.
Добровольный сертификат
На сегодняшний день предприниматели обладают широким спектром возможностей в плане продвижения своего бизнеса. Актуально оформление сертификатов для получения дополнительных преимуществ. Так, заказать документ можно для подтверждения соответствия ГОСТ (на продукцию), ИСО (на систему менеджмента качества). Проверка СМК может быть осуществлена в рамках системы «Промтехсертификация», которая имеет официальную аккредитацию Росстандарта и высоко ценится в России.
Наличие добровольного документа способно принести следующие преимущества:
выход на новые рынки (если речь идет о международном сертификате ISO, то это поможет выйти на иностранный рынок);
увеличение интереса со стороны потенциальных партнеров по бизнесу;
укрепление имиджа;
привлечение средств на развитие проекта, улучшение инвестиционных показателей;
более простое прохождение надзорных экспертиз;
формирование доверительного отношения к компании;
возможность применять знаки соответствия в сопроводительной документации, в рекламе, на упаковке программных продуктов;
рост продаж, повышение рентабельности и многое другое.
Важно! Наличие добровольного документа не избавляет от необходимости проводить обязательную оценку качества, а служит лишь инструментом для продвижения.
Пакет документов для подачи в центр «Рос-Тест»
Чтобы пройти оценку соответствия ГОСТ Р, ИСО или ФСТЭК, потребуется предоставить специалистам «Рос-Тест» полный пакет документов для проверки.
В него необходимо включить:
наименование и описание подконтрольной продукции, коды ТН ВЭД и ОКПД 2;
перечень продукции, которая будет проходить проверку (номера партии, артикулы, другая информация);
идентификационный налоговый номер, основной государственный регистрационный номер, учредительные и уставные документы, юридический и фактический адреса компании-заявителя;
техническую документацию, которая используется на предприятии – технологические регламенты и инструкции, стандарт организации, документацию ИСО, технические условия;
ранее выданные сертификаты (ТР ТС, иностранные, завершившие действие);
документы, указывающие на законность владения производственными площадями (договор аренды, свидетельство о собственности);
контракт на поставку, сведения об изготовителе, сопроводительные транспортные документы (если осуществляется поставка оборудования).
Если документы предоставляются на другом языке, следует выполнить их перевод на русский. В некоторых случаях предоставляется возможность подать документы в электронном порядке.
Этапы сертификации
Чтобы стать обладателем подтверждающего документа, предприниматель должен пройти все предусмотренные в этом случае проверки. Как правило, алгоритм действий следующий:
подача заявки в центр «Рос-Тест», оказание консультационных услуг: идентификация товара, определение необходимости проведения оценки качества, выбор схемы;
подготовка комплекта документации – на этой стадии наши сотрудники помогут вам разработать техдокументацию, если это понадобится;
после этого осуществляются лабораторные испытания – провести их можно только в аккредитованной лаборатории, по результатам она должна выдать протоколы (они также направляются в аккредитованный орган на проверку);
если того требует схема, то также осуществляются производственные экспертизы. Для этого на объект выезжают эксперты, оценивают соответствие производства установленным требованиям;
по факту контрольных мероприятий выдается разрешительный документ, ему присваивают идентификационный номер, сведения о нем вносятся в специальный реестр.
За более подробной информацией об оценке соответствия СЗИ обращайтесь в центр «Рос-Тест». Просто позвоните по телефону 8 (800) 100-20-85 или оставьте сообщение в форме обратной связи. Наши сотрудники проведут для вас бесплатную консультацию и помогут в оформлении сертификата.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Источник
Сертификат соответствия ФСТЭК
Чтобы получить дополнительную информацию позвоните +7 (495) 502 87 70 или отправьте сообщение:
Лицензия ФСТЭК России – основной документ, необходимый каждой организации, занимающейся защитой информации. Получить такую лицензию можно только после того как будет собран определенный пакет документов. Что бы уменьшить издержки и затраты, необходимо знать, что именно для этого нужно.
Полный алгоритм лицензирования прописан в Постановлении Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». В нём конкретно разъяснено, как оформить необходимые документы для подачи и получения заключения ФСТЭК.
Сроки и процесс получения лицензии ФСТЭК
На первый взгляд все очень просто. В первую очередь подается заявление, соответствующее требованиям Постановления № 79. После этого орган выдающий лицензию рассматривает данное заявление и выявляет ошибки или недостающие документы. При наличии ошибок или нехватки документов дается срок (30 дней) на исправление и сбор необходимых бумаг. Далее лицензирующие органы проверяют дополняющие документы. Данная проверка осуществляется в течение пяти дней. Если весь пакет документации соответствует требованиям, то лицензирующий орган за 45 дней обязан выдать разрешение, либо отказать.
На практике процесс сложнее. Выдачей лицензии занимается только один орган, находящийся в Москве. Однако желающих получить сертификат соответствия ФСТЭК России становится все больше и больше, поэтому за короткое время добиться его выдачи не получится. Организации, получающие лицензию в первый раз, обязаны приложить устав организации и документ, в котором указан руководитель данной организации.
В процессе получения лицензии возникают три наиболее часто встречающиеся проблемы:
Закупка оборудования. Организация должна иметь в своем распоряжении оборудование, которое в свою очередь стоит немалых денег. Кроме того, оборудование должно проходить сертификацию каждый год, что может помешать во время подать заявление.
Арендная документация. Если помещение арендуется, то организация должна предоставить весь пакет документов, подтверждающий арендные отношения.
Отсутствие кадровых проблем. Все сотрудники должны иметь диплом о высшем образовании в данной сфере.
Что бы получить положительное заключение ФСТЭК необходимо соблюдать некоторые правила. Во-первых, лучше иметь оборудование в собственности, во-вторых, обновлять документацию, исходя из законодательной базы, в-третьих, своевременно проходить аттестацию помещений, в-четвёртых, регулярно модернизировать оборудование, приборы и программное обеспечение.
Кроме того, организация, получившая сертификат ФСТЭК подлежит плановой проверке через три года. Возможны и внеплановые проверки. Таким образом, проверяется соответствие заявленных данных и реально существующих. Стоимость получения лицензии составляет 7,5 тысяч, а его продление 3,5 тысячи рублей. Существуют организации, которые оказывают специализированные услуги в подготовке и подачи всего пакета бумаг в лицензирующий орган.
141402, М.О., г. Химки, Вашутинское ш., д.20, корп.1
Телефон/факс: +7 (495) 790-47-10 , Складское хранение и обработка грузов +7 (495) 502-87-70 Услуги СВХ и таможенное оформление
Источник
Сертификация фстэк для windows
Защита информационных систем — одна из важнейших задач не только для отрасли информационных технологий, но и для всей экономики общества в целом. Понимая это, корпорация Microsoft стала пионером создания надежных информационных систем и автором концепции комплексного обеспечения информационной безопасности.
Одним из ключевых факторов, обеспечивающих создание защищенных систем на базе продуктов Microsoft в России, является выполнение национальных требований к сертификации программного обеспечения. Продукты Microsoft регулярно проходят сертификацию на соответствие требованиям по информационной безопасности РФ. Microsoft дает возможность государству убедиться в отсутствии «потайных дверей» в продуктах Microsoft. При этом это не означает, что Microsoft предоставляет доступ к данным пользователей. На сегодня сертифицированы уже более 70 продуктов. Наши клиенты, в числе которых и государственные заказчики, могут быть уверены, что их информационные системы защищены согласно российским требованиям.
Использование сертифицированного программного обеспечения и средств защиты информации во многих случаях является обязательным условием для обработки информации ограниченного доступа. В российском законодательстве определено свыше 60 видов информации ограниченного доступа, в том числе государственная тайна, служебная тайна, коммерческая тайна, банковская тайна, и др. Конкретные законодательные требования по защите, установленные для указанных видов информации и информационных систем, могут предусматривать требование по обязательному использованию сертифицированного программного обеспечения и средств защиты информации.
Продукты Microsoft, сертифицированные ФСТЭК, с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов Microsoft, поскольку программная реализация продуктов Microsoft позволяет получать соответствующие сертификаты ФСТЭК без изменений программного кода. Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов, а именно:
каждый экземпляр сертифицированного продукта, находящегося у заказчика, должен пройти процедуру проверки соответствия этого экземпляра тому экземпляру, который прошел сертификацию;
каждый экземпляр сертифицированного продукта, находящегося у заказчика, в случае положительной проверки его соответствия экземпляру, прошедшему сертификацию, получает пакет сертификационных документов государственного образца, включая голографический знак соответствия ФСТЭК с уникальным номером на каждую копию (если у заказчика 1000 компьютеров с сертифицированным продуктом, то ему выдается 1000 голограмм), который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов;
каждая организация, купившая сертифицированный продукт, получает защищенный доступ к персональной странице для получения сертифицированных обновлений.
Microsoft сертифицирует свои программные продукты со встроенными средствами защиты информации. В России организовано массовое производство всех сертифицированных версий продуктов Microsoft. Это позволяет заказчикам приобретать любые количества сертифицированных продуктов. Непрерывная сертификация ежемесячно выходящих обновлений к продуктам позволяет покупателям иметь сертифицированную версию не только с самыми последними обновлениями системы безопасности, но и соответствующую при этом требованиям регулятора.
Microsoft сертифицирует свои продукты в России с 2003 года. В числе первых продуктов, прошедших сертификацию, были Windows XP, Windows Server 2003, Office 2003 и другие. К весне 2020 года было сертифицировано более 70 продуктов. Microsoft продолжает сертификацию своих продуктов и будет продолжать сертифицировать новые версии своих продуктов и в дальнейшем.
Заказчики, которые хотят использовать сертифицированное программное обеспечение, имеющее действующие сертификаты (*) и продолжающее получать обновления безопасности (**), могут использовать следующие продукты Microsoft:
серверная операционная система Microsoft Windows Server 2012 R2 в редакциях Standard и Datacenter (**);
система управления информационной структурой Microsoft System Center 2012 R2 в редакциях Standard и Datacenter (**);
сервер управления почтовыми сообщениями Microsoft Exchange Server 2013 в редакциях Standard и Enterprise (**);
сервер документооборота Microsoft SharePoint Server 2013 (с SP1) (**);
платформа офисных приложений Microsoft Office 2016 Professional Plus (***);
сервер управления почтовыми сообщениями Microsoft Exchange Server 2016 (***);
сервер документооборота Microsoft SharePoint Server 2016 (***);
система управления проектами Microsoft Project Server 2016 в составе SharePoint Server 2016;
система управления информационной структурой Microsoft System Center 2016;
система управления базами данных Microsoft SQL Server 2016 в редакциях Enterprise Edition (EE), Standard (Std), Developer, Web, Express, Express with tools (с SP2);
серверная операционная система Microsoft Windows Server 2016;
система управления базами данных Microsoft SQL Server 2017 в редакциях Enterprise Edition (EE), Standard (Std), Developer, Web, Express, Express with Advanced Services;
клиентская операционная система Microsoft Windows 8.1 в редакциях Профессиональная и Корпоративная (**);
сервер документооборота Microsoft SharePoint Server 2019;
система управления проектами Microsoft Project Server 2019 в составе SharePoint Server 2019;
система управления базами данных Microsoft SQL Server 2019;
система управления базами данных Microsoft SQL Server 2019 on Linux;
клиентская операционная система Microsoft Windows 10 в редакции Корпоративная.
(*) Перед покупкой сертифицированного продукта проверяйте срок действия сертификата;
(**) Получение некоторых обновлений безопасности может потребовать приобретения пакета расширенной поддержки;
(***) Согласно пункту 15 Приказа ФСТЭК России от 3 апреля 2018 г. № 55, «Средство защиты информации может применяться по окончании срока действия сертификата соответствия при условии соблюдения требований по безопасности информации и осуществления заявителем его технической поддержки». Так как заявитель сертифицирует обновления безопасности, выпускаемые в данном случае Microsoft, то технческая поддержка заявителя зависит от срока продолжения выпуска обновлений по безопасности корпорацией Microsoft. Поэтому в данном случае срок эксплуатации сертифицированного продукта зависит от срока окончания выпуска Microsoft обновлений по безопасности.
По всем вопросам, связанным с приобретением сертифицированных продуктов Microsoft через партнеров, обращайтесь к заявителю, ООО «Сертифицированные информационные системы груп», по адресу электронной почты: info@certsys.ru.
Продукты Microsoft, сертифицированные ФСБ, содержат дополнительное программное обеспечение, которое позволяет им удовлетворять требованиям регулятора, — сервисные пакеты, разработанные российскими организациями. Эти сервисные пакеты «Secure Pack Rus» содержат в себе, прежде всего, российскую сертифицированную криптографию, которую Microsoft не производит.
Следующие продукты Microsoft сертифицированы ФСБ:
клиентская операционная система Microsoft Windows 10 в редакциях Pro, Enterprise и Enterprise LTSC;
серверная операционная система Microsoft Windows Server 2016 в редакциях Standard и Datacenter;
программный комплекс Microsoft Skype for Business Server 2015.
Сертификаты удостоверяют, что указанные продукты соответствуют требованиям уполномоченных органов России к
защите информации, не содержащей сведений, составляющих государственную тайну,
защите от несанкционированного доступа в автоматизированных информационных системах класса АК2 (некоторые продукты сертифицированы и на уровень АК3).
Как указано в документах, эти продукты могут использоваться для защиты конфиденциальной информации и персональных данных.
Полученные результаты сертификации позволяют создавать системы защищенного документооборота для органов государственной власти и системы «электронного правительства», построенные на платформе Microsoft.
Источник
Информационные и аналитические материалы отчеты и обзоры информационного характера о деятельности ФСТЭК России
Информационные и аналитические материалы (отчеты и обзоры информационного характера) о деятельности ФСТЭК России
Информационное сообщение ФСТЭК России от 29 апреля 2021 г. N 240/24/2087
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
В соответствии с подпунктом 13.3 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, приказом ФСТЭК России от 28 сентября 2020 г. N 110 утвержден Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, содержащей сведения, составляющие государственную тайну (далее — Порядок аттестации).
Порядок аттестации предназначен для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, предприятий, учреждений, организаций, которым на праве собственности или ином законном основании принадлежат объекты информатизации, а также для организаций, выполняющих работы по аттестации объектов информатизации на основании лицензии на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации с правом проведения мероприятий и (или) оказания услуг по аттестации объектов информатизации на соответствие требованиям о защите информации), выданной ФСТЭК России.
Указанный документ определяет состав и содержание работ по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, а также требования к форме разрабатываемых при проведении таких работ документов и применяется с 1 июня 2021 г.
В связи с вступлением в силу Порядка аттестации с 1 июня 2021 г. при организации и проведении работ по аттестации объектов информатизации, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну, не применяются следующие документы:
Положение по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 25 ноября 1994 г.;
Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 5 января 1996 г. N 3;
ГОСТ Р 58189-2018 Защита информации. Требования к органам по аттестации объектов информатизации;
ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения.
Порядком аттестации установленно, что аттестационные испытания объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, проводятся организациями, имеющими лицензию ФСТЭК России на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации с правом проведения мероприятий и (или) оказания услуг по аттестации объектов информатизации на соответствие требованиям о защите информации). Наличие аттестата аккредитации органа по аттестации для проведения указанных работ с 1 июня 2021 г. не требуется. Аккредитация органов по аттестации ФСТЭК России проводиться не будет. Перечень организаций, имеющих право выполнять работы по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, будет размещен на официальном сайте ФСТЭК России.
С целью организации контроля за выполнением работ по аттестации объектов информатизации Порядком аттестации предусмотренно ведение ФСТЭК России единого реестра аттестованных объектов информатизации, а также представление организациями, проводившими аттестацию, материалов с результатами аттестационных испытаний каждого объекта информатизации в территориальные органы ФСТЭК России. В случае установления по результатам экспертизы указанных материалов факта несоответствия аттестованного объекта информатизации требованиям о защите информации действие аттестата соответствия будет приостановлено до устранения выявленного несоответствия объекта информатизации установленным требованиям.
Источник
Гост защита информации аттестация объектов информатизации общие положения
ГОСТ Р 58189-2018
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ТРЕБОВАНИЯ К ОРГАНАМ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ
Information protection. Requirements to bodies for certification of informatization objects
Дата введения 2019-01-01
Предисловие
1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральным автономным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФАУ "ГНИИИ ПТЗИ ФСТЭК России")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"
4 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок — в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
1 Область применения
Настоящий стандарт устанавливает обязательные требования к органам по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, а также к организациям, претендующим на аккредитацию в качестве органа по аттестации.
2 Нормативные ссылки
В настоящем стандарте использована нормативная ссылка на следующий стандарт:
ГОСТ Р 50922 Защита информации. Основные термины и определения
Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:
3.1 аккредитация органа по аттестации объектов информатизации: Официальное признание уполномоченным федеральным органом исполнительной власти компетентности юридического лица выполнять работы по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.
3.2 аттестация объектов информатизации: Комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации.
объект информатизации; ОИ: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.
3.4 орган по аттестации объектов информатизации: Юридическое лицо, выполняющее работы по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.
3.5 уполномоченные федеральные органы исполнительной власти: Федеральные органы исполнительной власти, устанавливающие в пределах своих полномочий обязательные требования соответствия безопасности информации, а также порядок сертификации продукции, используемой в целях защиты информации, и аттестации объектов информатизации.
4 Обозначения и сокращения
В настоящем стандарте применены следующие сокращения:
АС — автоматизированная система;
БИ — безопасность информации;
НСД — несанкционированный доступ;
ОИ — объект информатизации;
ФОИВ — федеральный орган исполнительной власти.
5 Общие требования к органам по аттестации объектов информатизации
Орган по аттестации ОИ и организация, претендующая на аккредитацию в качестве органа по аттестации ОИ, должны удовлетворять следующим обязательным требованиям к наличию:
— документов, определяющих порядок и правила выполнения работ по аттестации ОИ;
— помещений, предназначенных для размещения работников, измерительных приборов, средств контроля эффективности технической защиты информации и ОИ;
— средств измерений и испытаний, необходимых для выполнения работ по аттестации ОИ;
— работников, имеющих соответствующую квалификацию, стаж работы, знания и навыки;
— лицензий, необходимых для выполнения работ по аттестации ОИ;
— ОИ, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну;
— организационно-распорядительной документации, определяющей задачи, функции, обязанности, права и ответственность органа по аттестации.
6 Требования к органам по аттестации объектов информатизации
6.1 Требования к наличию документов, определяющих порядок и правила выполнения работ по аттестации объектов информатизации
Орган по аттестации ОИ должен иметь в наличии необходимые для выполнения работ по аттестации ОИ нормативные правовые акты, методические документы и национальные стандарты, определяющие порядок и методики проведения аттестационных испытаний в целях подтверждения соответствия ОИ требованиям БИ. Перечень таких документов определяется соответствующим уполномоченным ФОИВ.
Орган по аттестации ОИ должен обеспечить учет, хранение и актуализацию фонда нормативных правовых актов, методических документов и национальных стандартов в установленном законодательством Российской Федерации порядке.
6.2 Требования к наличию помещений
Орган по аттестации ОИ должен иметь помещения, принадлежащие ему на праве собственности или ином законном основании, в которых созданы необходимые условия, установленные требованиями руководящих и нормативных документов, утвержденных соответствующими уполномоченными ФОИВ, для размещения работников, измерительных приборов, средств контроля эффективности технической защиты информации и ОИ, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.
6.3 Требования к наличию средств измерений и испытаний
Орган по аттестации ОИ должен иметь принадлежащие ему на праве собственности средства измерений, испытательное оборудование и программные (программно-аппаратные) средства, необходимые для выполнения работ по аттестации ОИ. Примерный перечень средств измерений, испытательного оборудования и программных (программно-аппаратных) средств определяется соответствующим ФОИВ.
Средства измерений должны иметь характеристики, обеспечивающие в процессе аттестации ОИ требуемые измерения, определенные уполномоченным ФОИВ в соответствии с Перечнем измерений, относящихся к сфере государственного регулирования обеспечения единства измерений.
Средства измерений должны иметь действующие свидетельства о поверке, проведенной в установленном законодательством Российской Федерации порядке.
Программные (программно-аппаратные) средства контроля эффективности технической защиты информации должны иметь действующие сертификаты соответствия требованиям безопасности информации, выданные уполномоченным ФОИВ по результатам проведенной оценки (подтверждения) их соответствия в установленном законодательством Российской Федерации порядке.
6.4 Требования к наличию работников и их квалификации
Орган по аттестации ОИ должен иметь подразделение, на которое возложены работы по аттестации ОИ, укомплектованное работниками, для которых работа в органе по аттестации ОИ является основным местом работы.
Орган по аттестации ОИ должен иметь в штате работников, заключивших с ним трудовой договор, которые обладают необходимыми знаниями, умениями и могут выполнять работы по аттестации ОИ, в том числе:
— руководителя или лица, уполномоченного руководить работами по аттестации ОИ, имеющего:
высшее профессиональное образование по направлению подготовки (специальности) "Информационная безопасность" и не менее 5 лет стажа работы в области аттестации ОИ;
или иное высшее профессиональное образование и не менее 10 лет стажа работы в области аттестации ОИ;
По направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук.
или иное высшее образование и не менее 5 лет стажа работы в области аттестации ОИ, прошедшего обучение по программам профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 аудиторных часов);
— не менее трех инженерно-технических работников для проведения работ по аттестации ОИ, имеющих:
высшее профессиональное образование по направлению подготовки (специальности) "Информационная безопасность";
или иное высшее профессиональное образование и прошедших обучение по программе повышения квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 40 аудиторных часов);
По направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук.
или иное высшее образование и прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (со сроком обучения не менее 360 аудиторных часов).
Работники должны иметь документы установленного образца, подтверждающие квалификацию, практический опыт и уровень подготовки.
Характеристика квалификации, необходимой работнику органа по аттестации для осуществления профессиональной деятельности, определяется действующим профессиональным стандартом "Специалист по технической защите информации".
6.5 Требования к наличию лицензий
Орган по аттестации ОИ должен иметь выданную в установленном законодательством Российской Федерации порядке лицензию на проведение работ, связанных с использованием сведений, составляющих государственную тайну.
Орган по аттестации ОИ должен иметь выданную в установленном законодательством Российской Федерации порядке лицензию на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации).
6.6 Требования к наличию объектов информатизации
Орган по аттестации ОИ для обработки информации, содержащей сведения, составляющие государственную тайну, должен иметь принадлежащие ему на праве собственности АС и средства их защиты, прошедшие процедуру оценки соответствия в установленном законодательством Российской Федерации порядке.
Орган по аттестации ОИ для обсуждения информации, содержащей сведения, составляющие государственную тайну, должен иметь принадлежащие ему на праве собственности или на другом законном основании помещение и средства его защиты, прошедшие процедуру оценки соответствия в установленном законодательством Российской Федерации порядке.
6.7 Требования к наличию организационно-распорядительной документации
Орган по аттестации ОИ в своей деятельности должен руководствоваться Положением об органе по аттестации, в котором должны быть определены задачи, функции, обязанности, права и ответственность органа по аттестации.
Типовое положение об органе по аттестации ОИ приведено в приложении А.
К Положению об органе по аттестации ОИ прилагаются:
— перечень имеющихся у органа по аттестации ОИ документов, необходимых для выполнения работ по аттестации ОИ (в соответствии с требованиями 6.1);
Источник
Аттестация объектов информатизации
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – "Аттестата соответствия" подтвеpждается, что объект соответствует тpебованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Положение по аттестации объектов информатизации по требованиям безопасности информации).
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
Обязательной аттестации подлежат:
Объекты информатизации, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну
Объекты информатизации, предназначенные для обработки информации конфиденциального характера, являющейся государственным информационным ресурсом
Государственные информационные системы
Аттестация проводится в соответствии со схемой, выбираемой на этапе подготовки к аттестации из следующего основного перечня работ:
анализ исходных данных по аттестуемому объекту информатизации;
предварительное ознакомление с аттестуемым объектом информатизации;
проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.
Аттестация проводится органом по аттестации (при обработке информации, содержащей сведения, составляющие государственную тайну) или организацией, имеющей право на деятельность в области технической защиты конфиденциальной информации (при обработке информации конфиденциального характера и аттестации государственных информационных систем)
Источник
Гост защита информации аттестация объектов информатизации общие положения
ГОСТ Р 58189-2018
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ТРЕБОВАНИЯ К ОРГАНАМ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ
Information protection. Requirements to bodies for certification of informatization objects
Дата введения 2019-01-01
Предисловие
1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Федеральным автономным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФАУ "ГНИИИ ПТЗИ ФСТЭК России")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"
4 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок — в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
1 Область применения
Настоящий стандарт устанавливает обязательные требования к органам по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну, а также к организациям, претендующим на аккредитацию в качестве органа по аттестации.
2 Нормативные ссылки
В настоящем стандарте использована нормативная ссылка на следующий стандарт:
ГОСТ Р 50922 Защита информации. Основные термины и определения
Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:
3.1 аккредитация органа по аттестации объектов информатизации: Официальное признание уполномоченным федеральным органом исполнительной власти компетентности юридического лица выполнять работы по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.
3.2 аттестация объектов информатизации: Комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации требованиям безопасности информации.
объект информатизации; ОИ: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.
3.4 орган по аттестации объектов информатизации: Юридическое лицо, выполняющее работы по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.
3.5 уполномоченные федеральные органы исполнительной власти: Федеральные органы исполнительной власти, устанавливающие в пределах своих полномочий обязательные требования соответствия безопасности информации, а также порядок сертификации продукции, используемой в целях защиты информации, и аттестации объектов информатизации.
4 Обозначения и сокращения
В настоящем стандарте применены следующие сокращения:
АС — автоматизированная система;
БИ — безопасность информации;
НСД — несанкционированный доступ;
ОИ — объект информатизации;
ФОИВ — федеральный орган исполнительной власти.
5 Общие требования к органам по аттестации объектов информатизации
Орган по аттестации ОИ и организация, претендующая на аккредитацию в качестве органа по аттестации ОИ, должны удовлетворять следующим обязательным требованиям к наличию:
— документов, определяющих порядок и правила выполнения работ по аттестации ОИ;
— помещений, предназначенных для размещения работников, измерительных приборов, средств контроля эффективности технической защиты информации и ОИ;
— средств измерений и испытаний, необходимых для выполнения работ по аттестации ОИ;
— работников, имеющих соответствующую квалификацию, стаж работы, знания и навыки;
— лицензий, необходимых для выполнения работ по аттестации ОИ;
— ОИ, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну;
— организационно-распорядительной документации, определяющей задачи, функции, обязанности, права и ответственность органа по аттестации.
6 Требования к органам по аттестации объектов информатизации
6.1 Требования к наличию документов, определяющих порядок и правила выполнения работ по аттестации объектов информатизации
Орган по аттестации ОИ должен иметь в наличии необходимые для выполнения работ по аттестации ОИ нормативные правовые акты, методические документы и национальные стандарты, определяющие порядок и методики проведения аттестационных испытаний в целях подтверждения соответствия ОИ требованиям БИ. Перечень таких документов определяется соответствующим уполномоченным ФОИВ.
Орган по аттестации ОИ должен обеспечить учет, хранение и актуализацию фонда нормативных правовых актов, методических документов и национальных стандартов в установленном законодательством Российской Федерации порядке.
6.2 Требования к наличию помещений
Орган по аттестации ОИ должен иметь помещения, принадлежащие ему на праве собственности или ином законном основании, в которых созданы необходимые условия, установленные требованиями руководящих и нормативных документов, утвержденных соответствующими уполномоченными ФОИВ, для размещения работников, измерительных приборов, средств контроля эффективности технической защиты информации и ОИ, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну.
6.3 Требования к наличию средств измерений и испытаний
Орган по аттестации ОИ должен иметь принадлежащие ему на праве собственности средства измерений, испытательное оборудование и программные (программно-аппаратные) средства, необходимые для выполнения работ по аттестации ОИ. Примерный перечень средств измерений, испытательного оборудования и программных (программно-аппаратных) средств определяется соответствующим ФОИВ.
Средства измерений должны иметь характеристики, обеспечивающие в процессе аттестации ОИ требуемые измерения, определенные уполномоченным ФОИВ в соответствии с Перечнем измерений, относящихся к сфере государственного регулирования обеспечения единства измерений.
Средства измерений должны иметь действующие свидетельства о поверке, проведенной в установленном законодательством Российской Федерации порядке.
Программные (программно-аппаратные) средства контроля эффективности технической защиты информации должны иметь действующие сертификаты соответствия требованиям безопасности информации, выданные уполномоченным ФОИВ по результатам проведенной оценки (подтверждения) их соответствия в установленном законодательством Российской Федерации порядке.
6.4 Требования к наличию работников и их квалификации
Орган по аттестации ОИ должен иметь подразделение, на которое возложены работы по аттестации ОИ, укомплектованное работниками, для которых работа в органе по аттестации ОИ является основным местом работы.
Орган по аттестации ОИ должен иметь в штате работников, заключивших с ним трудовой договор, которые обладают необходимыми знаниями, умениями и могут выполнять работы по аттестации ОИ, в том числе:
— руководителя или лица, уполномоченного руководить работами по аттестации ОИ, имеющего:
высшее профессиональное образование по направлению подготовки (специальности) "Информационная безопасность" и не менее 5 лет стажа работы в области аттестации ОИ;
или иное высшее профессиональное образование и не менее 10 лет стажа работы в области аттестации ОИ;
По направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук.
или иное высшее образование и не менее 5 лет стажа работы в области аттестации ОИ, прошедшего обучение по программам профессиональной переподготовки по направлению "Информационная безопасность" (со сроком обучения не менее 360 аудиторных часов);
— не менее трех инженерно-технических работников для проведения работ по аттестации ОИ, имеющих:
высшее профессиональное образование по направлению подготовки (специальности) "Информационная безопасность";
или иное высшее профессиональное образование и прошедших обучение по программе повышения квалификации по направлению "Информационная безопасность" (со сроком обучения не менее 40 аудиторных часов);
По направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук.
или иное высшее образование и прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (со сроком обучения не менее 360 аудиторных часов).
Работники должны иметь документы установленного образца, подтверждающие квалификацию, практический опыт и уровень подготовки.
Характеристика квалификации, необходимой работнику органа по аттестации для осуществления профессиональной деятельности, определяется действующим профессиональным стандартом "Специалист по технической защите информации".
6.5 Требования к наличию лицензий
Орган по аттестации ОИ должен иметь выданную в установленном законодательством Российской Федерации порядке лицензию на проведение работ, связанных с использованием сведений, составляющих государственную тайну.
Орган по аттестации ОИ должен иметь выданную в установленном законодательством Российской Федерации порядке лицензию на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации).
6.6 Требования к наличию объектов информатизации
Орган по аттестации ОИ для обработки информации, содержащей сведения, составляющие государственную тайну, должен иметь принадлежащие ему на праве собственности АС и средства их защиты, прошедшие процедуру оценки соответствия в установленном законодательством Российской Федерации порядке.
Орган по аттестации ОИ для обсуждения информации, содержащей сведения, составляющие государственную тайну, должен иметь принадлежащие ему на праве собственности или на другом законном основании помещение и средства его защиты, прошедшие процедуру оценки соответствия в установленном законодательством Российской Федерации порядке.
6.7 Требования к наличию организационно-распорядительной документации
Орган по аттестации ОИ в своей деятельности должен руководствоваться Положением об органе по аттестации, в котором должны быть определены задачи, функции, обязанности, права и ответственность органа по аттестации.
Типовое положение об органе по аттестации ОИ приведено в приложении А.
К Положению об органе по аттестации ОИ прилагаются:
— перечень имеющихся у органа по аттестации ОИ документов, необходимых для выполнения работ по аттестации ОИ (в соответствии с требованиями 6.1);
Регистрационное удостоверение
Сертификат соответствия 
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа – "Аттестата соответствия" подтвеpждается, что объект соответствует тpебованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Положение по аттестации объектов информатизации по требованиям безопасности информации).(1).jpg)
Обзор документа 
На первый взгляд все очень просто. В первую очередь подается заявление, соответствующее требованиям Постановления № 79. После этого орган выдающий лицензию рассматривает данное заявление и выявляет ошибки или недостающие документы. При наличии ошибок или нехватки документов дается срок (30 дней) на исправление и сбор необходимых бумаг. Далее лицензирующие органы проверяют дополняющие документы. Данная проверка осуществляется в течение пяти дней. Если весь пакет документации соответствует требованиям, то лицензирующий орган за 45 дней обязан выдать разрешение, либо отказать.