шпора1

•обработка персональных данных работников (субъектов, с которыми организация связана трудовыми отношениями);

•обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

•менее 100 000 субъектов;

•более 100 000 субъектов.

50. Мероприятия по контролю и надзору за деятельностью операторов ПДн.

Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, при обработке персональных данных

в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

51. Лицензирование в сфере защиты информации. Виды деятельности, подлежащие лицензированию.

Лицензирование – деятельность лицензирующих органов по предоставлению,

переоформлению лицензий, продлению срока действия лицензий в случае, если ограничение срока действия лицензий предусмотрено федеральными законами,

осуществлению лицензионного контроля, приостановлению, возобновлению, прекращению действия и аннулированию лицензий формированию и ведению реестра лицензий, формированию государственного информационного ресурса, a также по предоставлению в установленном порядке информации вопросам лицензирования.

Федеральный закон от 04.05.2011 № 99-ФЗ (ред. от 25.12.2023) «О лицензировании отдельных видов деятельности» Лицензирование в области защиты информации –

1.Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ [ГОСТ Р 50922-2006 Защита информации. Термины и определения].

2.Деятельность, заключающаяся в передаче или в получении прав на проведение работ в области защиты информации [Положение о государственном лицензировании деятельности в области защиты информации (утв. решением Государственной технической комиссии при Президенте РФ и Федерального агентства правительственной связи и информации при Президенте РФ от 27 апреля 1994 г. № 10) (с изменениями и дополнениями от 24 июня 1997 г. № 60)].

ЛИЦЕНЗИЯ – специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которое подтверждается документом, выданным лицензирующим органом на бумажном носителе или в форме электронного документа, подписанного электронной подписью, в случае, если в заявлении о предоставлении лицензии указывалось на необходимость выдачи такого документа в форме электронного документа.

Срок действия лицензии устанавливается положением лицензировании конкретного вида деятельности, но не может быть менее чем три года. Федеральными законами и положениями о лицензировании конкретных видов деятельности может быть предусмотрено бессрочное действие лицензии.

Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» (ст. 9).

4.Лицензия действует бессрочно. Лицензируемые виды деятельности в области ЗИ

В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

1) разработка, производство, реализация, эксплуатация, техническое обслуживание и ремонт шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств,

осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

2)разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации;

3)деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

4)разработка и производство средств защиты конфиденциальной информации;

5)деятельность по технической защите конфиденциальной информации;

52.Лицензирование деятельности по защите ГТ.

Статья 27 ФЗ «О государственной тайне» Допуск предприятий, учреждений и организаций к проведению работ, связанных с

использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на проведение

работ со сведениями соответствующей степени секретности.

Ключевыми элементами процедуры лицензирования являются:

• специальная экспертиза предприятия – проведение комплексной оценки,

действующей на объекте соискателя лицензии системы защиты государственной тайны;

• государственная аттестация руководителей, ответственных за защиту сведений,

составляющих государственную тайну.

Специальная экспертиза предприятий проводится по таким направлениям, как:

– режим секретности;

– секретное делопроизводство;

– противодействие иностранной технической разведке;

– защита информации от утечки по техническим каналам.

Цель ее проведения – оценка готовности выполнения предприятиями требований законодательных иных нормативных актов Российской Федерации по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанных с использованием таких сведений.

Комплексная защита охраняемой информации включает:

• разграничение доступа к информации;

• выявление и нейтрализацию каналов утечки, включая контроль среды на наличие «закладок» в технических средствах и программном обеспечении;

• в случае использования автоматизированных информационных систем, каналов связи и телекоммуникаций:

o криптографическую защиту информации при хранении и передаче по каналам связи;

o антивирусную защиту, обеспечивающую выявление и ликвидацию попыток разрушения вычислительной системы или отдела программ;

o обеспечение целостности при попытках целенаправленного уничтожения и искажения информации и программных средств защиты.

53.Необходимыми требованиями, предъявляемыми при проведении специальных экспертиз предприятий к соискателям лицензии на допуск к работам, связанным с использованием сведений, составляющих государственную тайну

Необходимыми требованиями, предъявляемыми при проведении специальных экспертиз предприятий к соискателям лицензии на допуск к работам, связанным с использованием сведений, составляющих государственную тайну, являются:

•наличие в структуре предприятия подразделения по защите государственной тайны и необходимого числа специально подготовленных сотрудников для работы защите информации, уровень квалификации которых достаточен для обеспечения защиты государственной тайны;

•наличие на предприятии средств защиты информации, имеющих сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

Согласно ФЗ «О государственной тайне» «ответственность за организацию защиты сведений, составляющих государственную тайну, в органах государственной власти, на предприятиях, в учреждениях и организациях возлагается на их руководителей» (ст. 20)

•Обязательным условием для государственной аттестации руководителя предприятия является наличие у аттестуемого оформленного в установленном порядке

допуска к сведениям, составляющим государственную тайну.

•B процессе государственной аттестации должно быть подтверждено наличие у аттестуемого руководителя необходимых знаний и практических навыков по организации защиты государственной тайны вверенном ему объекте.

•Отрицательное заключение по результатам государственной аттестации руководителя предприятия является основанием для отказа в выдаче этому предприятию лицензии на право работы со сведениями, составляющими государственную тайну.

От государственной аттестации освобождаются руководители организаций, имеющие свидетельство об окончании учебных заведений, уполномоченных осуществлять подготовку по вопросам защиты государственной тайны.

54. Органы, уполномоченные на ведение лицензионной деятельности. Задачи органов лицензирования.

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ от 15.04.1995 г. № 333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны».

п. 2. Органами, уполномоченными на ведение лицензионной деятельности, являются:

•по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну – Федеральная служба безопасности Российской Федерации и ее территориальные органы (на территории Российской Федерации), Служба внешней разведки Российской Федерации (за рубежом);

↓

•на право проведения работ, связанных с созданием средств защиты информации –

Федеральная служба по техническому и экспортному контролю, Служба внешней разведки Российской Федерации, Министерство обороны Российской Федерации, Федеральная служба безопасности Российской Федерации (в пределах их компетенции);

↓

•на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны – Федеральная служба безопасности Российской Федерации и ее территориальные органы, Федеральная служба по техническому экспортному контролю, Служба внешней разведки Российской Федерации (в пределах их компетенции).

На орган, уполномоченный на ведение лицензионной деятельности, возлагается:

•организация лицензирования деятельности предприятий;

•организация и проведение специальных экспертиз предприятий;

•рассмотрение заявлений предприятий о выдаче лицензий;

•принятие решений о выдаче или об отказе в выдаче лицензий;

•выдача лицензий;

•принятие решений о приостановлении действия лицензии или о ее аннулировании;

•разработка нормативно-методических документов по вопросам лицензирования;

•привлечение в случае необходимости представителей министерств и ведомств Российской Федерации для проведения специальных экспертиз;

•ведение реестра выданных, приостановленных и аннулированных лицензий.

55. Лицензионные требования.

1) Наличие у соискателя лицензии:

•специалистов, имеющих высшее профессиональное образование в области технической защиты информации или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации с предъявлением требований к стажу работ;

•помещений для осуществления лицензируемой деятельности, принадлежащих ему на праве собственности или ином законном основании;

2) Наличие принадлежащего соискателю лицензии на праве собственности или ином законном основании, предусматривающем право владения и право пользования:

•оборудования, необходимого для выполнения работ и (или) оказания услуг;

•измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке поверку (калибровку);

•программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходящих текстов программного обеспечения;

3) Наличие автоматизированных систем, предназначенных для обработки конфиденциальной информации, средств защиты и такой информации, прошедших процедуру оценки соответствия (аттестованных (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

4) Наличие технической и технологической документации, национальных стандартов и

методических документов, и другие...

Документы, содержащие информацию ограниченного доступа, должны быть получены в установленном законодательством Российской Федерации порядке.

56.Основания для отказа в выдаче лицензии. Основанием для отказа в выдаче лицензии является:

– наличие в представленных документах недостоверной или искаженной информации;

– отрицательное заключение экспертизы;

– отрицательное заключение по результатам государственной аттестации руководителя предприятия.

57.Срок действия лицензии.

На каждый вид деятельности выдается отдельная лицензия. Срок действия лицензии ФСТЭК:

•на техническую защиту конфиденциальной информации, разработку и производство средств защиты конфиденциальной информации – бессрочно;

•на осуществление мероприятий или оказание услуг в области защиты государственной тайны, на проведение работ, связанных с созданием средств защиты информации – 5 лет.

Срок оформления лицензии: 45 дней с момента подачи документов в лицензирующий орган.

58. Сертификация и аттестация. Взаимосвязь сертификации и аттестации. Законодательная нормативная база.

Сертификация представляет собой оценку товаров и услуг, чтобы определить, соответствуют ли они установленным стандартам и нормам.

Нормативные документы по сертификации определяют нормы качества и безопасности продукции, a также алгоритм проведения их оценивания. Документация содержит информацию об ответственности, которую несут стороны за нарушение порядка сертификации, и тех действиях, которые можно предпринять, если выявлены несоответствия.

Под сертификацией средств защиты информации (СЗИ) по требованиям безопасности информации (далее сертификация) понимается проверка (подтверждение) характеристик СЗИ на соответствие требованиям государственных стандартов или иных нормативных документов по защите информации, выпущенных уполномоченными федеральными органами:

•ФСТЭК России;

•ФСБ России;

•Министерство обороны.

В настоящее время сертификация по требованиям безопасности проводится для:

•средств защиты информации (СЗИ);

•продуктов (программных, программно-аппаратных, аппаратных), имеющие встроенные СЗИ.

Нормативную базу сертификации составляют такие законодательные акты:

1. Федеральные законы. Федеральный закон «О техническом регулировании» от 27.12.2002 № 184-ФЗ, «О защите прав потребителя» и др. Они нормируют обязательное проведение сертификации некоторых субъектов, формируют систему сертификации. 2. Постановления Правительства РФ. Эти документа вводят набор товаров и услуг, которые нужно сертифицировать, а также правила проведения такой процедуры.

3. ГОСТы (государственные стандарты) и Технические регламенты. Это – базовая документация, определяющая требования к качеству и безопасности продуктов и услуг: маркировке, способам проведения испытаний и контроля.

4. Классификаторы, перечни и номенклатуры. Они дают сторонам информацию о порядке сертификации (Общероссийский классификатор продукции (ОКП), Общероссийский классификатор услуг населению (ОКУН)). Перечни используются, чтобы обеспечить участников процесса сертификации данными о товарах и услугах, которые должны пройти сертификацию. Перечни лежат в основе разработки номенклатуры сертифицируемых товаров и услуг.

Аттестация – комплекс организационно-технических мероприятий, в результате которых подтверждается, что ОИ соответствует требованиям стандартов или иных нормативных документов по безопасности информации.

Аттестация объектов информатизации – это комплекс мероприятий для подтверждения соответствие системы защиты объекта требованиям безопасности информации, закрепленных в законодательстве или отраслевых стандартах.

Цель аттестации – оценить и подтвердить соответствие системы защиты информации требованиям безопасности данных. Эти меры позволяют выявлять слабые места, защищать информацию от утечки и несанкционированного доступа и дает право обрабатывать конфиденциальную информацию.

Что подлежит аттестации

Порядок (Приказ ФСЭК № 77) распространяется на аттестацию на соответствие требованиям по защите информации следующих объектов информатизации:

•государственных и муниципальных информационных систем, в том числе государственных, муниципальных информационных систем персональных данных;

•информационных систем управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;

•помещений, предназначенных для ведения конфиденциальных переговоров.

Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации.

Нормативная база по аттестации ОИ

•Приказ ФСТЭК от 29 апреля 2021 г. № 77 «ОБ УТВЕРЖДЕНИИ ПОРЯДКА ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ О ЗАЩИТЕ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ»;

•ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;

•ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики испытаний»;

•«Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), Гостехкомиссия России, 30.08.2002;

•Руководящие документы по защите информации от НСД (Гостехкомиссия России).

Общее в аттестации и сертификации

•Похожие формулировки;

•Проверяется соответствие определенных характеристик определенным требованиям, которые установлены НМД;

•Используются в большинстве случаев одни и те же НМД.

Различия в аттестации и сертификации

• Процессы сертификации и аттестации объектов информатизации проводятся на их различных этапы жизненного цикла:

oсертификация связана с этапом производства СЗИ и такой категорией, как продукция, предназначенная для реализации;

oаттестация – с этапом эксплуатации и такой категорией, как объект информатизации.

•При аттестации оцениваются как отдельные СЗИ, так и система защиты в целом, включая организационные меры, а также конкретные условия эксплуатации;

•Процессы сертификации и аттестации – самостоятельные процессы отличающихся процедурами, методологией, объектами и конечными результатами.

59. Система сертификации ФСТЭК России.

Изготовители средств защиты информации, составляющей государственную тайну, должны иметь лицензию ФСТЭК России на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну. Изготовители средств защиты информации ограниченного доступа, не составляющей государственную тайну, должны иметь лицензию ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации.

Сертификация средств защиты информации осуществляется по следующим схемам:

•для единичного образца средства защиты информации – проведение испытаний образца средства защиты информации и проверки организации его технической поддержки;

•для партии средства защиты информации – проведение испытаний выборки образцов средства защиты информации и проверки организации его технической поддержки;

•для серийного производства средства защиты информации – проведение испытаний выборки образцов средства защиты информации и проверки организации его производства и технической поддержки.

Срок действия сертификата соответствия не может превышать 5 лет.

Сертификат соответствия выдается на срок, указанный в заявке на сертификацию.

По окончании срока действия сертификата соответствия заявитель вправе подать заявку на продление срока действия сертификата соответствия.

Реестр аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий размещается на официальном сайте ФСТЭК России в информационнотелекоммуникационной сети "Интернет".

Заявитель при намерении сертифицировать средства защиты информации:

1) относит планируемое к сертификации средство защиты информации к одному из типов средств защиты информации, установленных требованиями по безопасности информации и подлежащих сертификации в системе сертификации ФСТЭК России; 2) определяет требования по безопасности информации, на соответствие которым планируется проведение сертификации средства защиты информации;

3) осуществляет производство (подготовку) образца (образцов) средства защиты информации; 4) готовит конструкторскую, программную и эксплуатационную документацию на

средство защиты информации; 5) выбирает для проведения сертификационных испытаний средства защиты информации

аккредитованную ФСТЭК России в соответствующей области аккредитации испытательную лабораторию, согласовывает с ней возможность и сроки проведения сертификационных испытаний.

К заявке на сертификацию прилагаются следующие документы:

•технические условия в двух экземплярах;

•техническое задание в двух экземплярах (в случае, если планируется проведение сертификации средства защиты информации на соответствие требованиям по безопасности информации, изложенным в техническом задании);

•задание по безопасности в двух экземплярах (в случае необходимости его разработки в соответствии с требованиями по безопасности информации);

•формуляр (паспорт) на средство защиты информации;

•договор с лицом (лицами), обладающим (обладающими) исключительными правами на средство защиты информации, о предоставлении заявителю права на сертификацию, эксплуатацию или производство средства защиты информации, а также на техническую поддержку средства защиты информации (прилагается в случае, если заявитель не обладает исключительными правами на средство защиты информации).

Основаниями для отказа в проведении сертификации средства защиты информации являются:

•несоответствие назначения средства защиты информации компетенции ФСТЭК России;

•отсутствие у заявителя и (или) изготовителя лицензии ФСТЭК России случае, если наличие такой лицензии предусмотрено законодательством Российской Федерации;

•наличие в заявке на сертификацию и (или) прилагаемых к ней документах недостоверных сведений;

•наличие в банке данных угроз безопасности информации сведений об уязвимостях средства защиты информации или поступивших в ФСТЭК России от уполномоченных органов сведений об угрозах безопасности, связанных с применением средства защиты информации.

Уведомление об отказе в проведении сертификации средства защиты информации или уведомление о необходимости доработки заявки на сертификацию и (или) прилагаемых к ней документов в срок не более трех дней со дня принятия решения подписывается уполномоченным должностным лицом ФСТЭК России и вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении.

Общий срок рассмотрения и утверждения программы и методики сертификационных испытаний средства защиты информации органом по сертификации не должен превышать 30 календарных дней со дня получения программы и методики сертификационных испытаний.

Сертификационные испытания включают:

•проведение испытаний отобранного образца (образцов) средства защиты информации, предусматривающих оценку соответствия параметров и характеристик (функций безопасности информации) средства защиты информации требованиям по безопасности информации;

•проверку организации технической поддержки средства защиты информации, предусматривающую оценку соответствия работ (услуг) по технической поддержке средства защиты информации в ходе его эксплуатации, проводимых (предоставляемых) заявителем, требованиям по безопасности информации;

•проверку организации производства средства защиты информации, предусматривающую оценку соответствия работ по изготовлению средства защиты информации с целью подтверждения неизменности параметров и характеристик (функций безопасности информации) образцов серийно производимого средства защиты информации требованиям по безопасности информации (при сертификации производства средства защиты информации).

По результатам испытаний и проверок оформляются протоколы испытаний (проверок).

По завершении испытаний и проверок, предусмотренных программой и методикой сертификационных испытаний средства защиты информации, оформляется техническое заключение о соответствии (несоответствии) средства защиты информации требованиям по безопасности информации.

Вслучае несоответствия средства защиты информации требованиям по безопасности информации техническое заключение направляется заявителю.

Заявитель должен устранить выявленные несоответствия средства защиты информации требованиям по безопасности информации.

Выдача (отказ в выдаче) сертификата соответствия

Вслучае если в экспертном заключении сделан вывод о невозможности выдачи сертификата соответствия, ФСТЭК России в срок не позднее 5 рабочих дней со дня поступления материалов по сертификации средства защиты информации принимает решение об отказе в выдаче сертификата соответствия.

Вслучае если в экспертном заключении сделан вывод о возможности выдачи сертификата соответствия, ФСТЭК России в срок не более 30 календарных дней рассматривает материалы по сертификации средства защиты информации и при отсутствии недостатков принимает решение о выдаче сертификата соответствия.

60. Обязательная и добровольная сертификация.

Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» Статья 2. Основные понятия Подтверждение соответствия – документальное удостоверение соответствия продукции

или иных объектов, процессов…, выполнения работ или оказания услуг требованиям регламентов, положениям стандартов, сводов правил или условиям договоров;

Обязательная сертификация является государственным требованием для определенных видов продукции, работ или услуг. Она проводится в случаях, когда безопасность, здоровье потребителей, охрана окружающей среды или другие важные общественные интересы требуют строгого контроля качества.

Формы обязательной сертификации:

Обязательная сертификация: Проводится аккредитованными органами по сертификации. Результатом является выдача сертификата соответствия.

Принятие декларации о соответствии: Производитель сам подтверждает соответствие своей продукции установленным требованиям, оформляя декларацию о соответствии. Этот вариант применяется для некоторых категорий товаров, где полный контроль не требуется.